手動(dòng)清除仿文件夾圖標(biāo)U盤病毒

　　 近學(xué)校的打印社幾乎都中了一種U盤病毒，凡是在中都機(jī)器插上U盤的，都會(huì)根據(jù)U盤內(nèi)已有的文件夾名稱復(fù)制出同名的可執(zhí)行程序，并且把自己文件圖標(biāo)改成XP系統(tǒng)默認(rèn)的文件夾圖標(biāo)，并且把原來(lái)存在的文件夾隱藏，這個(gè)病毒還具有這樣的功能，被雙擊后會(huì)打開可自己一樣名字的文件夾，迷惑性非常高。

　　這個(gè)U盤病毒可以說(shuō)很具有迷惑性，一般情況下你的電腦設(shè)置隱藏了文件后綴名和不顯示隱藏文件夾，由于病毒隱藏原有的文件夾并且雙擊病毒程序依然可以打開對(duì)應(yīng)的文件夾，可以說(shuō)防不勝防。目前這種病毒瑞星查殺不出來(lái)，360安全衛(wèi)士也沒有提示。所以大家要對(duì)此病毒提高警惕，以防自己的帳號(hào)密碼以及重要數(shù)據(jù)失竊。

　　用PEID查了下，病毒沒有加殼，用C32ASM打開病毒樣本“VIDEO.EXE”，之后對(duì)應(yīng)16進(jìn)制編輯，搜索“http” 看看有沒有病毒是否還下載其他文件。找到了一處目標(biāo)

　　發(fā)現(xiàn)了一處目標(biāo)，http://www.yeanq**.com/ul.htm 是一個(gè)網(wǎng)址，打開看了一下，是一張普通頁(yè)面，這個(gè)U盤病毒貌似一個(gè)網(wǎng)站推廣程序，對(duì)于其他的功能也沒做細(xì)分析。我們主要介紹如何清除這個(gè)病毒，清除不是很復(fù)雜。

　　如果你裝了360安全衛(wèi)士，清除不是很復(fù)雜。直接打開開機(jī)運(yùn)行軟件管理，

　　在 下面看到兩個(gè)文件夾圖標(biāo)沒有公司簽名的程序，兩個(gè)全部卸載就可以。這樣就防止了病毒開機(jī)直接運(yùn)行。

　　如果沒有裝360安全衛(wèi)士，打開開機(jī)啟動(dòng)文件夾

　　雙擊紅框那里便打開了。打開后如下：

　　刪除紅圈圈上那個(gè)快捷方式。這樣還沒有結(jié)束，病毒寫了兩處開機(jī)啟動(dòng)，打開注冊(cè)表編輯器，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下刪掉相應(yīng)的啟動(dòng)鍵值，

　　之后運(yùn)行資源管理器找到相應(yīng)的進(jìn)程結(jié)束掉，

　　 好 先執(zhí)行此步驟，因?yàn)橛行┎《驹谶\(yùn)行的過程中一直判斷注冊(cè)表中的啟動(dòng)項(xiàng)是否存在，如果不存在了就進(jìn)行寫入。所以先結(jié)束病毒進(jìn)程是科學(xué)的。對(duì)于此病毒可以先做哪一部都可以。

　　 后找到的病毒的所在位置，WINDOWS/sysyem32文件夾下將病毒刪除，

　　這種U盤病毒的迷惑性非常強(qiáng)，會(huì)通過U盤廣泛傳播，如果還帶有下載其他木馬的功能，危害是相當(dāng)大的，從表面來(lái)看貌似一個(gè)網(wǎng)站推廣的惡意程序，但還很可能帶有其他的功能，例如木馬間諜功能，可以控制目標(biāo)計(jì)算機(jī)，可以隨意從受害者機(jī)器上上傳下載文件，對(duì)用戶計(jì)算機(jī)的安全造成嚴(yán)重威脅。所以警惕大家從復(fù)印社打印回來(lái)一定要對(duì)自己的U盤殺毒。像一些目前不能被殺毒軟件查殺的病毒，就需要提高警惕了。