查杀:文件夹变成exe文件,Expl0rer.exe,autorun.inf

Simen.Resh@d

作者：清新阳光

最近很多人反映自己的文件夹全变成exe文件，且原有的文件夹被隐藏，今天抓到了样本，分析如下：
File: EXPL0RER.EXE
Size: 21504 bytes
File Version: 1.00.2900
Modified: 2008年1月12日, 22:03:26
MD5: 8705EC3E51AF609AD73EB8B803FEA796
SHA1: 01015B9F9231018A58A3CA1B5B6A27C269F807E6
CRC32: 21A3FAE7
1.病毒运行后，衍生如下副本：
%systemroot%\EXPL0RER.EXE（注意中间是数字0）
遍历所有分区，把所有属性为非隐藏的文件夹隐藏，并生成一个与该文件夹名称相同的病毒文件，诱惑用户点击
在可移动存储中写入autorun.inf和EXPL0RER.EXE
2.修改很多系统关联项目，其中包括
HKLM\SOFTWARE\Classes\Directory\shell\explore\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\Directory\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"（修改文件夹打开关联，也就是说即便你打开的是正常的文件夹，那么也会运行病毒文件！！很好很强大！！也很流氓！！）
HKLM\SOFTWARE\Classes\Drive\shell\explore\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\Drive\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"（同样修改磁盘打开关联，病毒没有通过传统的auto方式启动，而是通过这种流氓方式，也就是说你每打开一次某个分区，便运行一次病毒！！！）
创建HKLM\SOFTWARE\Classes\exefile\NeverShowExt: ""（永久性隐藏exe文件的扩展名）
修改inf，ini，txt，vbs，chm，reg文件的文件关联
HKLM\SOFTWARE\Classes\inffile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\inifile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\txtfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\VBSFile\Shell\Open\Command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
3.破坏显示隐藏文件
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
4.破坏安全模式
删除SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
SYSTEM\CurrentControlSet\Control\SafeBoot\Network键
5.利用GetForegroundWindow，GetWindowTextA等函数获得窗口的标题并利用PostMessageA函数关闭带有某些指定字符的窗口，诸如
twomcc
wopt
360
...
并可关闭注册表编辑器和任务管理器...
6.修改系统日期为1988.11.30
7.连接网络利用InternetReadFile函数读取http://www.lice.eb.cn/update.txt
但该链接已失效 猜想是为了更新病毒所用
8.利用GetComputerNameA获得机器名称，并利用http://www.lice.eb.cn/qq.asp?ip=机器名称 提交
清除办法：（一定要严格按照顺序操作不得跳步）
下载Icesword：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng：http://download.kztechs.com/files/sreng2.zip
操作注意事项: 操作中不要打开任何文件夹，因为所有“文件夹”全已经是伪装的病毒了，也不要打开任何磁盘分区！
下载来的Icesword和sreng直接解压到桌面上 也不要解压到一个文件夹中
1.运行 Icesword.exe 进程 结束%systemroot%\EXPL0RER.EXE进程 （注意中间是数字0，而且图标为文件夹图标）

点击左下角文件按钮
进入Icesword的文件管理器
删除%systemroot%\EXPL0RER.EXE
还是注意 不要删错 该文件大小为21504字节

2.打开sreng
系统修复- 文件关联 点击修复
Windows Windows Shell/IE 全选 点击修复
高级修复 修复安全模式
3.把下列文字复制到记事本中 并改名为1.bat 运行
reg delete "HKLM\SOFTWARE\Classes\Drive\shell\explore" /f
reg delete "HKLM\SOFTWARE\Classes\Drive\shell\open" /f
reg delete "HKLM\SOFTWARE\Classes\Directory\shell\explore" /f
reg delete "HKLM\SOFTWARE\Classes\Directory\shell\open" /f
一段类似dos的屏幕滚动过后就可以了
4.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的搜索按钮
查找所有文件和文件夹
全部或部分文件名 *.exe
在这里查找：我的电脑
指定大小 至多为22K
并勾选搜索隐藏的文件和文件夹选项

搜索完毕后，会发现搜索到很多文件夹图标的exe文件 大小均为21k左右 全部删除之！！

5.恢复文件夹属性
可以用attrib －s -h /s /d 对应文件夹路径 这样的命令恢复，工程有点浩大...

Xx'

顶

偶像

SiMen.B^M^W

顶  我也好想学点计算机技术 免的光只会玩

SiMen.Angel

的确很流氓。   

yianshuju51

易安数据恢复7X24小时热线：010-59796269
故障类型: 文件夹变成EXE 品牌:三星
操作系统:WINDOWS 恢复时间:2010年05月31日
客户名称:个人  马先生 客户所在地:北京
故障描述:  数据恢复费用：400 元
         马先生U盘中病毒，拿回家之后插在电脑结果导致电脑硬盘文件夹全部变成EXE文件类型，文件夹打不开。用杀毒软件进行杀毒也不行，将带有EXE的文件夹删除，仍旧看不到原始文件夹。马先生硬盘里有自己很重要的资料，并且紧急需要使用。上网看到易安数据恢复公司进行电话咨询后，将硬盘拿到了我公司。
恢复简述:   
          易安数据恢复工程师检测，此故障为软件故障，数据可以恢复。工程师使用专业数据恢复工具，一个小时左右，将文件夹成功读取，经客户确认，数据100%恢复成功。
恢复结果:数据恢复成功 　
易安数据恢复7X24小时热线：010-59796269

北京易安文件夹变成EXE24小时热线:010-59796269


易安硬盘数据恢复,服务器数据恢复010-59796269

易安数据恢复 7X24小时数据恢复热线：010-59796269  多年恢复经验,上万成功案例;全国固定报价

硬盘数据恢复
数码照片恢复
硬盘录像机恢复
数据恢复范围
台式机硬盘数据恢复，笔记本硬盘数据恢复，移动硬盘数据恢复，服务器硬盘数据恢复，磁盘阵列数据恢复,
RAID数据恢复,数码照片恢复，数码相机数据恢复,硬盘录像机录像恢复，录像机数据恢复，数码录像机录像恢复
U盘，MP3，MP4数码相机,CF卡,sm卡，MMC，数码伴侣，硬盘录像机等

2:可恢复故障：
软件故障：
系统故障：CMOS认盘，系统不认盘；系统认盘但无法识别分区；
整个硬盘所有分区丢失，显示：“未指派空间”；双击时提示“未格式化”；
分区可以正常读取，可以正常打开，但读数据时提示：“循环冗余错误”或“I/O错误”；

文件丢失：分区误格式化；文件误删除；误GHOST后整个硬盘变成一个分区；
重装系统时选错分区对数据覆盖操作；某个分区突然变成空盘，
属性显示占用空间数正常；分区容量显示“0字节”
其它：OFFICE（WORD、EXCEL等）文件密码破解，移动硬盘，U盘解密

RAID服务器硬盘指示灯亮红灯、无法正常启动、RAID硬盘顺序搞错 ，服务器硬盘掉线，OFFICELINE等
双击U盘，MP3时，提示：请插入磁盘...或提示：“找不到驱动器”数据恢复

重装系统时，在DOS下格式化C盘，安装完系统后D盘为空，数据全部丢失
数码相机照片删除恢复,照片格式化恢复,照片删除恢复,sd卡照片恢复，CF卡照片恢复
硬件故障：

A、CMOS不认盘
B、常有一种“咔嚓咔嚓”的磁头撞击声
C、电机不转，通电后无任何声音
D、磁头错位造成读写数据错误等
CMOS不认硬盘或系统不认盘；
常有一种“咔嚓咔嚓”或“卡卡”的磁头撞击声；
电机不转，通电后无任何声音；
坏道: 由于错误关机或突然断电，硬盘使用时间长久，硬盘盘片会出现坏道，无法导出或无法读取。

公司名称:北京易安数据恢复公司  

硬盘数据恢复
7X24小时数据恢复热线：010-59796269
服务器数据恢复

K!tteN

艹  原来是楼上卖广告

碉堡

原来是这样啊。