关于文件夹图标病毒2008.exe
样本由“彩色的石头”网友提供。
对于新手,此毒欺骗性较大。多分区系统,可能更不易搞掂。
我的电脑只有一个分区,运行了一下此样本。搞起来相对容易一些。
1、病毒遍历根目录下的1、2级文件夹,并在同级目录下释放与文件夹同名的病毒文件.exe;将原文件夹变为隐藏、只读。
2、进程列表中可见两个相互守护的病毒进程(c:\windows目录下的10.exe和2008.exe)。要结束这两个进程,需要用特别点儿的手段。我是用SSM禁止其加载运行。用IceSword,禁止进程创建,再同时结束这两个进程,估计也行。
3、由于正常的文件夹已被病毒隐藏,用户用explorer.exe看到的“文件夹”其实都是病毒程序。因此,手工杀毒时,建议用WINRAR这样的工具寻找并删除病毒文件。
4、此毒修改注册表N处,大多是文件关联项。我用tiny阻止了这些更改,故不需特别处理。删除病毒加载项即搞掂。没有防护的条件下中招,这些文件关联项需要用工具修复。
5、此毒删除系统程序userinit.exe。杀净病毒后,先不要忙着重启。务必从同类系统%system%目录下拷贝一个正常userinit.exe到中招电脑的系统目录下。用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
