V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yache
V2EX  ›  Windows

请教一下大家,U盘的folder.exe病毒如何杀?

  •  
  •   yache · 2011-11-29 20:49:30 +08:00 · 6071 次点击
    这是一个创建于 4748 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近培训,频繁使用U盘,插来插去就染毒了。U盘的每个文件夹下面就多一个对应的folder.exe文件,进程里多了一个fun.exe,弄的系统慢死了。
    20 条回复    1970-01-01 08:00:00 +08:00
    badec
        1
    badec  
       2011-11-29 20:54:12 +08:00
    随便装个杀毒软件都能杀。插进电脑,右键扫描
    yache
        2
    yache  
    OP
       2011-11-29 21:12:16 +08:00
    @badec 我装了 麦咖啡都杀不了
    zythum
        3
    zythum  
       2011-11-29 21:13:59 +08:00
    @badec 进安全模式用杀软跑一边。如果感觉机子上的杀软可能被干掉了的话。去下个superkiller(360的,虽然很鄙视360,但是这个很有用)在带网络的安全模式进去,解压,跑一边应该就ok了。

    如果感觉电脑想这种胁迫资源管理器的情况的话,请不要使用资源管理器去打开文件夹或者盘。可以用cmd,或者压缩软件打开。
    zythum
        4
    zythum  
       2011-11-29 21:14:42 +08:00
    @badec 抱歉。[AT]错认了。
    ywjno
        5
    ywjno  
       2011-11-29 21:14:42 +08:00
    找台非win的机器,直接手动删可疑文件,应该就差不多了
    CoX
        6
    CoX  
       2011-11-29 21:18:12 +08:00
    @ywjno 高招
    webgeekman
        7
    webgeekman  
       2011-11-29 21:36:41 +08:00
    @ywjno 想到一块去了,我想告诉他用linux或mac呵呵
    zythum
        8
    zythum  
       2011-11-29 21:41:18 +08:00
    @ywjno @CoX @webgeekman 手动删会删屎人了的...
    vmebeh
        9
    vmebeh  
       2011-11-29 21:41:38 +08:00
    不是dll注入的还好.
    可以手工杀掉

    win下用可以用xuetr
    CoX
        10
    CoX  
       2011-11-29 21:49:20 +08:00
    @zythum linux 下一个命令行搞定
    jzhone
        11
    jzhone  
       2011-11-29 21:51:44 +08:00
    这类病毒挺久的了,如果用杀软不能正常清理干净的话可以如下手杀:
    1、任务管理器结束如下进程:Fun.exe, dc.exe, SVIQ.exe
    2、打开启动管理器(运行——msconfig)关闭不相关的启动项
    3、打开注册表编辑器(运行——regedit)删除如下键值:
    dc、fun、dc2k5 的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    load, run 的HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    4、跳转到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 键值,然后编辑键值为 explorer.exe
    5、清除注册表如下项目:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dc
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dc2k5
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fun
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Run
    6、最后用 unlock 等工具删除以下文件:
    %Windir%\Help\Other.exe
    %Windir%\inf\Other.exe
    %Windir%\system\Fun.exe
    %Windir%\System32\config\Win.exe
    %Windir%\System32\WinSit.exe
    %Windir%\dc.exe
    %Windir%\SVIQ.exe
    %Windir%\System32\NWB.dat
    c:\PNga.txt
    %Windir%\wininit.ini

    完成
    lentrody
        12
    lentrody  
       2011-11-29 22:15:55 +08:00
    我是经常遇到类似的lpk.dll,直接del /s /f /q lpk.dll(有时要加/a:s),不过这货还会添加到压缩包里,一个个删删的我快崩溃(用杀软直接把压缩包也删了)。
    zythum
        13
    zythum  
       2011-11-29 22:18:14 +08:00
    @lentrody 还能加到压缩包里,那么神奇?
    badec
        14
    badec  
       2011-11-29 22:41:43 +08:00
    U盘病毒没那么牛逼,先杀感染源,在手动清理被感染文件。
    lentrody
        15
    lentrody  
       2011-11-29 23:40:07 +08:00
    @zythum 机房很常见,一被感染就自动调用cmd.exe,find.exe,rar.exe,先寻找有exe文件的文件夹和压缩包(我见到病毒的只感染rar,却不管zip……),然后疯狂复制添加,搞得到处都是lpk.dll,那时还是小白,还以为是跟Thumbs.db什么的类似的缓存文件,一直到自己会装系统装了个nod32才发现那是病毒,机房万年不更新的卫士和冰点熵不起啊。

    楼主McAfee是最新版么?再试试卡巴什么的
    leungxh
        16
    leungxh  
       2011-11-30 06:16:28 +08:00
    上边的都是牛人啊,试试usbcleaner吧。
    zythum
        17
    zythum  
       2011-11-30 12:02:22 +08:00
    @lentrody 看来搞个7z这种小众的压缩软件比较重要...卡巴很威武的。+1
    yache
        18
    yache  
    OP
       2011-11-30 16:58:29 +08:00
    @leungxh 试了,不起作用。
    yache
        19
    yache  
    OP
       2011-11-30 16:58:45 +08:00
    @jzhone 谢谢,很专业。
    yache
        20
    yache  
    OP
       2011-11-30 17:00:36 +08:00
    @lentrody 谢谢,我上淘宝买个卡巴1年的key吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5939 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 02:05 · PVG 10:05 · LAX 18:05 · JFK 21:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.