作者: X140cc, 　出处:it168,　责任编辑: 郭秋爽,　 2008-07-11 10:06

　　最近学校的打印社几乎都中了一种U盘病毒，凡是在中都机器插上U盘的，都会根据U盘内已有的文件夹名称复制出同名的可执行程序。

　　最近学校的打印社几乎都中了一种U盘病毒，凡是在中都机器插上U盘的，都会根据U盘内已有的文件夹名称复制出同名的可执行程序，并且把自己文件图标改成XP系统默认的文件夹图标，并且把原来存在的文件夹隐藏，这个病毒还具有这样的功能，被双击后会打开可自己一样名字的文件夹，迷惑性非常高。中毒U盘如下图

　　这个U盘病毒可以说很具有迷惑性，一般情况下你的电脑设置隐藏了文件后缀名和不显示隐藏文件夹，由于病毒隐藏原有的文件夹并且双击病毒程序依然可以打开对应的文件夹，可以说防不胜防。目前这种病毒瑞星查杀不出来，360安全卫士也没有提示。所以大家要对此病毒提高警惕，以防自己的帐号密码以及重要数据失窃。

　　用PEID查了下，病毒没有加壳，用C32ASM打开病毒样本“VIDEO.EXE”，之后对应16进制编辑，搜索“http” 看看有没有病毒是否还下载其他文件。找到了一处目标：如图

　　发现了一处目标，http://www.yeanq**.com/ul.htm是一个网址，打开看了一下，是一张普通页面，这个U盘病毒貌似一个网站推广程序，对于其他的功能也没做细分析。我们主要介绍如何清除这个病毒，清除不是很复杂。

　　手动清除仿文件夹图标U盘病毒

　　作者: X140cc, 　出处:it168,　责任编辑: 郭秋爽,　 2008-07-11 10:06

　　最近学校的打印社几乎都中了一种U盘病毒，凡是在中都机器插上U盘的，都会根据U盘内已有的文件夹名称复制出同名的可执行程序。

　　如果你装了360安全卫士，清除不是很复杂。直接打开开机运行软件管理：如图

　　在最下面看到两个文件夹图标没有公司签名的程序，两个全部卸载就可以。这样就防止了病毒开机直接运行。

　　如果没有装360安全卫士，打开开机启动文件夹：如图

双击红框那里便打开了。打开后如下：如图

　　作者: X140cc, 　出处:it168,　责任编辑: 郭秋爽,　 2008-07-11 10:06

　　最近学校的打印社几乎都中了一种U盘病毒，凡是在中都机器插上U盘的，都会根据U盘内已有的文件夹名称复制出同名的可执行程序。

　　删除红圈圈上那个快捷方式。这样还没有结束，病毒写了两处开机启动，打开注册表编辑器，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下删掉相应的启动键值：如图

之后运行资源管理器找到相应的进程结束掉：如图

　　最好最先执行此步骤，因为有些病毒在运行的过程中一直判断注册表中的启动项是否存在，如果不存在了就进行写入。所以先结束病毒进程是科学的。对于此病毒可以先做哪一部都可以。

　　最后根据下图找到的病毒的所在位置，WINDOWS/sysyem32文件夹下将病毒删除：如图

　　这种U盘病毒的迷惑性非常强，会通过U盘广泛传播，如果还带有下载其他木马的功能，危害是相当大的，从表面来看貌似一个网站推广的恶意程序，但还很可能带有其他的功能，例如木马间谍功能，可以控制目标计算机，可以随意从受害者机器上上传下载文件，对用户计算机的安全造成严重威胁。所以警惕大家从复印社打印回来一定要对自己的U盘杀毒。像一些目前不能被杀毒软件查杀的病毒，就需要提高警惕了。