《病毒文件夹模仿者解决方法.doc

“文件夹模仿者”（win32.troj.fakefoldert.yl.1406378），这是一个可借助U盘传播的木马程序。该毒还通过将自己的文件伪装成文件夹图标，欺骗用户点击。 你试试看用瑞星在安全模式下全盘杀毒 进入安全模式的方法是1、在计算机开启BIOS加载完之后，迅速按下F8键，在出现的WindowsXP高级选项菜单中选择“安全模式”；?? 2、如果有多系统引导，在选择WindowsXP启动时，当按下回车键，就应该迅速地按下F8键（最好两只手进行操作），在出现的WindowsXP高级选项菜单中选择“安全模式”。 摘要：今天突然发现计算机有点异常，只要一打开Windows资源管理器左侧的文件夹，Explorer.exe就会崩溃，检查了一下发现中了W32.Downadup.autorun病毒。尽管机器安装了最新版本的瑞星杀毒软件，但是根本就检测不到该病毒。Symantec可以检测到，但是单位的涉密计算机就不允许安装国外的杀毒软件，只能用瑞星。在网上搜索了一下，在Symantec的网站上可以下载杀毒软件包。下回来运行了一下，可以把病毒删除了，下面是删除的日志文件： 全文：/zealsoft/archive/2009/05/11/1454194.html 我说过瑞星杀不了的病毒，结果发现换成Symentec，也会有杀不了的病毒。今天就碰上一个：Win32.Troj.FakeFolderT.yo.1406378。这个病毒的症状就是你插入一个新U盘，它就会在U盘上建立几个和U盘上目录同名的.EXE文件，从而达到传播的目的。这是个病毒变种，最新的Symentec也没有查出来。金山的在线杀毒可以查出来，但是如果想杀需要交钱。这点不如Symentec厚道，Symentec查出的病毒大多提供免费的杀毒工具，买不买没关系 ? 这个病毒的清除似乎不难，先在任务管理器中找到一个文件名为随机生成的数字的进程，我的机器上为6261B2.EXE，然后直接关闭这个进程。然后在Windows\System32的某个随机数目录中删除掉这个.EXE文件。再清楚掉注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的对应项就可以了。重新启动，检查一下新插入的U盘没有产生病毒文件就说明删除了。 展开描述：模仿文件夹图标，欺骗用户点击 　　症状：U盘文件夹图标被替换，杀毒后文件夹丢失 　　卡巴命名:Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af 　　瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n 　　NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ 　　McAfee命名:W32.Autorun.worm.dqvirus、W32.Autorun.worm.evvirus 　　此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）的一款变种，感染该毒后的所有症状完全一致。 出处：PConline 2009年11月17日 作者：金山毒霸 责任编辑：huanghaiming　　Win32.troj.fakefoldert.yo.1406378（文件夹模仿者变种） 　　展开描述： 模仿文件夹图标，欺骗用户点击 　　症状：U盘文件夹图标被替换，杀毒后文件夹丢失 　　卡巴命名： Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af 　　瑞星命名：Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n 　　NOD32命名：Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ 　　McAfee命名： W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus 　　此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）的一款变种，感染该毒后的所有症状完全一致。 　　Win32.induc.a.820224 （Delphi梦魇） 　　展开描述：感染Delphi环境，从源头污染程序 　　症状：无任何症状 　　卡巴命名：Virus.Win32.Induc.a 　　NOD32命名：virus.Win32.Induc.A 　　这是一个针对Delphi程序员的病毒“Delphi梦魇”，它专门感染Delphi程序员的电脑，一旦成功，程