用忆捷u盘自带密码软件导致文件夹exe是怎么回事?
这个是你中了U盘文件夹exe病毒,现在U盘病毒90%是kido病毒,kido病毒虽然很多杀软能杀,但是都没处理掉他的母体。而那些文件夹并没有真的丢失,只是被隐藏了。
用金山U盘专杀和金山网盾这两个软件,百度一下就找到了。先运行金山网盾,点击一键修复,处理掉病毒和系统错误。然后再运行金山U盘专杀这个工具,勾选全盘扫描,他能处理掉病毒母体和那些被隐藏的文件夹,还能修复一些U盘被感染的文件。
当前一种通过隐藏移动磁盘文件夹,创建图标为“文件夹”且与被隐藏文件夹同名.exe文件的病毒正在校园网内广泛流行。由于此病毒主要以恶作剧为目的,没有发现其他破坏情况(也可能尚处于隐蔽期,尚未发作)广大杀毒软件不能正确识别和清除,因此难以有效遏制其传播,从而导致部分初级用户甚至因为无法解决此问题而被迫格式化磁盘。
笔者对这个病毒也颇感头疼,更重要的是,由于病毒感染计算机后使用随机目录名,笔者的手动清除经验难以形成有效的通用解决办法,从而难以传授给普通用户。对此,笔者对该病毒进行了深入研究,归纳整理了一套解决办法。
一、病毒主要工作机理
1、无毒移动磁盘插入染毒计算机后,加载在进程中的病毒首先利用遍历算法在移动磁盘各分区根目录写入两个文件,autorun.inf和Recycled.exe,前者指向后者,以便后者能自动执行。后者图标为“文件夹”使它看起来就像“回收站”,该文件尺寸为1.19MB。
2、接下来遍历移动磁盘各分区的ROOT区,隐藏所有属性为“目录”的文件(Windows称之为“文件夹”的玩意),同时创建Recycled.exe的若干个副本,其特点为:文件名与被隐藏目录相同,图标为“文件夹”,尺寸1.19MB。双击这些文件可打开被隐藏的相应目录。
3、受感染的磁盘转入正常计算机时,由于用户通常都是双击磁盘图标打开相应分区,从而激活autorun.inf并执行Recycled.exe文件,向正常计算机%windir%\system32写入一个文件名随机的隐藏目录,目录内隐藏病毒体——图标类似Visual BASIC编译产生的.exe文件,并在“C:\Documents
and Settings\\「开始」菜单\程序\启动”当中添加一个快捷方式,使之指向病毒体。此随机目录名称看起来很像一个十六进制数,即不会出现A7D8ZX之类名称,但肯定会出现A7D8EF之类文件名。
4、该病毒体没有使用当前流行木马、病毒采用的自我保护机制,很容易被手工清除,也许正是这个原因,杀毒软件不报不杀,偶尔报告的只是把autorun.inf给清除掉。从而导致其大面积传播。
二、病毒发生作用的原因
默认Windows XP用户都不会显示隐藏、系统属性的文件,且文件扩展名被隐藏。因此,隐藏的目录变得不可见。即使autorun.inf被杀毒软件清除,但由于假扮的目录存在,大部分用户仍有可能误执行病毒体,从而导致病毒清除中只要漏杀一个移动磁盘,病毒立刻卷土重来。
三、网上解决办法的失误
笔者搜索了互联网,目前找到的方法都是介绍如何清除移动磁盘上的病毒体并恢复数据,却很少提及如何防范与清除病毒本体的方法。因此,即使初级用户了解到如何上网求助,却未必能够彻底清除自己计算机上的病毒,从而不断发生清除后再次受到感染的现象,以至于部分用户不得不格式化硬盘、或者用还原磁盘镜像方式覆盖式重新安装系统。但是,前面说了,只要漏杀一个移动磁盘,很快病毒就会卷土重来。
四、解决方案
笔者提出的解决方案是“防杀结合”。“防”指防范,我们在计算机上操作移动磁盘前,必须检查计算机是否已经感染病毒;“杀”指手工清除,主要针对具备较高计算机应用能力的用户或者计算机系统管理员、各机房、多媒体教室管理员。同时,普通用户也通过本方案了解如何判断自己使用的移动磁盘已经受到感染。
首先,插入移动磁盘前,务必确认宿主计算机未感染病毒。解决办法如下:
1、查看任务管理器,进程中如果存在一个文件名看起来就像一个3字节的十六进制数的进程(名称6个字符,构成字符在0~9,ABCDEF范围内),请务必使用“结束进程树”将其结束。某些计算机当中可能不仅仅有一个这样的进程,也请一并结束。
2、如果该计算机C盘被还原卡保护,请不必管它,反正现在你插入移动磁盘是安全的了。
其次,如果未进行上述检查就已经插入移动磁盘,请这样检查你的磁盘是否已被感染。
1、默认的文件夹视图通常都是“图标”,在这个状态下,我们无法区分一个图标是“文件夹”的玩意,到底是不是一个真正的文件夹(我还是喜欢管它叫“目录”,微软搞出“文件夹”这名字特拗口)。
图1 默认的文件夹视图
2、这时候,我们需要修改默认的文件夹视图为“详细信息”(图2)。
图2 更改默认视图
3、更改文件夹视图后,我们可以清晰的区分文件和文件夹(图3)。
图3 “详细信息”视图
文件夹在“大小”列是没有数值的,而文件则会有数值,如果上述视图变成这个模样(图4),那么恭喜你,你中毒了!
图4 中毒的迹象
注意图3与图4的区别,图标、尺寸、类型已经暴露了图标是文件夹但其实是病毒体的“qemumanager40”。如果此时你设置了“显示隐藏文件”和“显示文件扩展名”,你会发现这样的现象(图5)。
图5 显示隐藏文件和文件扩展名的文件视图
毫无疑问,这个“qemumanager40.exe”就是病毒体,而真正的“qemumanager40”文件夹已经被病毒隐藏。因此,当我们使用“详细信息”视图时看到图标是“文件夹”的应用程序,其尺寸为1.19MB(或者从1196KB~1200KB左右)时,请毫不犹豫地选择并删除它。
然后,去除被隐藏文件夹的“隐藏”属性即可。
五、手工清除步骤
1、请系统管理员继续做下去,通常系统管理员的计算机应用水平都比较高,我们就简而言之吧。
首先是设置,最好能保证你提供给别人使用的公共计算机的C盘是得到保护的。当然,若是染了毒,至少重新启动前,它还是不安全的。因此,请把所有文件夹的默认视图改为“详细信息”,并且显示隐藏文件和文件扩展名。
图6 文件夹选项
设置好一个文件夹视图后,在图6把它“应用到所文件夹”并确认“高级选项”类似图6那样。
2、到%windir%\system32下,按“修改时间”对目录逆向排序,删除最近创建的,目录名看起来像十六进制数的隐藏目录。
3、在你的FTP服务器当中给用户留下一个批处理文件,名称叫什么不重要,重要的是内容。图7是笔者设计的批处理文件内容:
图7 免疫程序的内容
它的作用是利用不可删除的autorun.inf目录和recycled.exe目录来避免autorun.inf文件和recycled.exe文件被病毒创建,从而保证移动磁盘即使受到感染,也不会自动执行。当用户双击磁盘盘符打开时,不会激活autorun.inf文件并执行recycled.exe,从而保证你管理的电脑不被带毒磁盘感染,变成“病毒传播机”。
本文提到的免疫程序,校园网用户请到[url]ftp://192.168.10.5/incoming[/url]当中下载。
4、最后,告诫你的用户,在目前病毒高发的时代,使用右键菜单的“资源管理器”打开磁盘,远比双击磁盘名称打开更为安全。
那能是关联出现问题了。 重新设置一下文件关联。
文件夹不是变了,是隐藏了然后又给重新建立了个和文件夹名字一样的文件,这是病毒造成的,跟加密软件没有关系。是你买了个带毒的U盘
可能是你的电脑中毒了。
这是病毒造成的,要用程序恢复,和加密没有关系。
你先不删那个加密软件,运行它解锁文件密码就可以了,
答:那个本来就是病毒,建议卸载360,安装金山毒霸,扫描修复,可以把你的文件还原,你现在U盘的文件夹是隐藏的,你可以显示隐藏文件把他们转移出来
答:我的移动硬盘就是这个图标,还可以修复,如果不想要把图标文件删除,已经隐藏了。我另一个盘的图标是 E 是专门放加密软件的
答:1、首先找到U盘根目录EA-Key3.1文件夹里面的文件EA-Key3.1.exe。2、这个工具是直接加载到右键菜单栏的,所以要先找一个文件右击一下,查看一下右键菜单栏是否有这个工具,图中没有。3.然后双击出现对话框。4.点击安装右键菜单,会出现提示:安装成功。5.再找想要加密文件点击一下右键,这时右键菜...
答:如果不可以的话,我建议您可以下载U盘超级加密3000试试。U盘超级加密 3000是国内使用人数最多,评价最好的一款U盘加密软件和移动硬盘软件,并且也可以在电脑的硬盘里面的使用。并且该软件还十分灵活,你可以加密磁盘内的全部数据,也可以有选择加密磁盘里面的子文件夹和子文件。另外U盘超级加密 3000还有两种...
答:我还是首先去手机的设置里查看一下存储选项,在最下面有看到这个U盘的容量信息(共15.61GB,说明已经连接上了)。回到手机应用介面,找到“文件管理”的应用选项,我装的是“立卓文件”。其它的文件管理软件也是可以的,比如“ES文件浏览器”。点开文件管理的软件,大家就可以看到“USB”及其内容了。普通...
答:如果没有写保护开关的U盘提示被写保护,原因就是把注册表里USB设备可读可写的项改成成了只读,只要改回来就好了。方法:把下面的字串复制到记事本中,保存,再把后缀改成reg,双击这个文件导入键值,写保护即可解开。Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\...
答:加密:在你想要加密的硬盘上右击---启用bitlocker---使用密码解锁驱动器---输入密码。下一步---然后按照提示做就ok了。红色警告:一定要记得存储密钥,而且要存到你认为安全不会丢失的地方。这东西是你将来用来恢复密码或者删除密码的...
答:这是附带的U盘加密软件。如果不需要加密可以删除。我买的也有。
答:设个密码,仅仅验证身份,实际存储内容没 有任何变化。B.软加密,内置或附带软件,对数据进行加密,一般用AES,也可分加密区及非加密区 C.硬件加密,内置硬件加密,透明加密,无形之中,完成加密,读取时验证,有的具有一些特殊功能,例如将加密应用于硬盘,插上U盘显示明码,拔下显示就是加密信息。
答:安装到电脑 把原件放到U盘 换电脑的时候要重新安装才能解锁 但是要注意一点 加锁的时候千万可别把原件也加进去
