winfile查杀技巧：winfile.exe病毒原理和清除方法

　　昨天打开电脑，发现G：根目录下多了一个名叫winfile的文件夹，没有在意，又打开其他文件夹，发现里面多了一个与当前打开文件夹一样的隐藏属性的文件夹，才猛然想到：可能是病毒?我晕：什么时候感染上病毒的?前几天听同事说，二楼网络教室的电脑感染了很多病毒，难道是从学校的电脑上带回来的?打开U盘，发现里面也有这个文件夹，晕死。

　　连忙上网查找，看看是什么病毒，怎么清除，看了几篇文章，原理讲得很清楚，手动清除的方法有些步骤很模糊，操作起来不知从何下手。又没有杀毒软件，怎么办呢?自己试着手动清除吧，先把硬盘里备份的系统还原，再查找硬盘内所以的[*.exe]文件,发现好多的文件夹图标形式的.exe 文件,删除掉所有这些文件。再到金山毒霸网站在线查毒，一切OK!

　　学校的电脑可没有克隆备份，用同样的方法肯定不行，继续查找，终于在一个论坛发现一个叫SPANT的杀毒软件，试运行杀U盘的病毒，清除了5个病毒，一切搞定!今天上午到学校的第一件事情，就是把程序拷贝到网络教室的教师机杀毒。

　　病毒的困扰总是让人头痛，中午在家上网，发现下面这个文件，怎么清除winfile.exe病毒，讲得还是很清楚的，故把它贴在这儿，希望对不幸感染病毒的你有所帮助。

　　病毒分类 WINDOWS下的PE病毒

　　行为类型 WINDOWS下的木马程序

　　病毒原理：

　　病毒I-Worm.Wukill(文件名称winfile.exe)运行过程：

　　1.将拷贝自身到windows目录Mstray.exe。 修改注册表： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run "RavTime" : %WINDOWS%\\MSTRAY.EXE ，以达到自启动的目的。

　　2.枚举磁盘目录，在每个根目录下释放下列文件：

　　释放病毒主体程序,并以上一级目录名称或对话框名称作文件名。

　　释放coment.htt 利用IE漏洞调用同一个目录下的病毒主体程序，属性为隐藏。

　　释放desktop.ini 系统为隐藏。采用web方式浏览文件夹时，系统会调用该文件，

　　该文件调用coment.htt ，从而激活病毒。 (注意，不是每个desktop.ini都是病毒释放的，千万别删错了!)

　　3.修改文件夹选项，不显示隐藏文件，隐藏系统文件、隐藏受系统保护的文件、隐藏已知的扩展名称。(该病毒属性为隐藏)

　　病毒发病特征：

　　1.只在每月28号发病

　　2.无法进行正常的复制、剪切、粘贴等与剪贴板有关的任何操作

　　3.如果是粘贴文本的话，会在粘贴处出现“hello”字样，而不是原文

　　4.病毒首次运行时会显示：This File Has Been Damaged!(该文件已损坏)

　　病毒检查办法：

　　1.检查你的电脑根目录下有无文件夹形状的应用程序(.exe)文件(48K)

　　2.按“Ctrl+Alt+Del”查看应用程序中有无Winime任务，查看进程中有无KI.exe或Mstray.exe存在(该病毒会自己更名)

　　3.运行MSCONFIG，查看启动项中有无KI.exe或Mstray.exe存在;如果用优化大师的话，还可以看到这个程序的名称是RavTimeXP

　　解决办法：

　　1.调用任务管理器，停止病毒进程Winime，KI.exe，Mstray.exe等

　　2.删除注册表下HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run "RavTime" : %WINDOWS%\\MSTRAY.EXE 的主键

　　3.打开文件夹选项，把所有带隐藏的都去掉，也就是显示所有文件，不隐藏系统文件和受系统保护的文件，不隐藏文件扩展名

　　4.搜索coment.htt删除

　　5.搜索desktop.ini，用记事本打开，察看有没有调用coment.htt文件的命令，如果有，将该文件删除

　　6.再查找硬盘内所有的[*.exe]文件,发现好多的文件夹图标形式的.exe 文件,删除掉所有这些文件。

　　7.利用杀毒软件查找杀毒

　　8.打开你的移动存储设备(如果已经连接到电脑上的话)，在根目录下搜索长得像病毒的文件，删除

　　9.重新启动计算机，再次杀毒确认.