U盤EXE木馬病毒的清除辦法

張艷

同事的U盤帶有EXE病毒，把整個(gè)單位的電腦都感染了EXE木馬病毒，所有U盤插入電腦后文件夾都被改成EXE文件。實(shí)際上這已經(jīng)不是U盤的原文件了，病毒程序把U盤文件全部隱藏起來，顯示出來的都是病毒文件本身。

該木馬病毒會(huì)將插入電腦U盤的根目錄文件夾全部設(shè)置為隱藏屬性，并自動(dòng)勾選上“文件夾選項(xiàng)”里的“隱藏受保護(hù)的操作系統(tǒng)文件”“不顯示隱藏的文件、文件夾或驅(qū)動(dòng)器”“隱藏已知文件類型的擴(kuò)展名”前面的復(fù)選框（圖1），生成一個(gè)與原文件圖標(biāo)相同、文件名相同的EXE文件。雙擊打開這個(gè)EXE文件，就會(huì)打開一個(gè)新窗口跳轉(zhuǎn)到原文件夾內(nèi)。

方法一：使用專殺工具

1.使用USBKiller軟件處理病毒

下載地址：http：//down.upantool.com/file/software/security/2010/YouPanShaDuZhuanJia_v3.0.zip。跟360安全衛(wèi)士不同的是，USBKiller是專門針對U盤病毒開發(fā)的，使用起來也很簡單。在網(wǎng)上下載USBKiller工具后，雙擊解壓，按照窗口提示把程序安裝到本地電腦中。打開“U盤殺毒專家（USBKiller）”程序后，勾選窗口中的“內(nèi)存”“本地硬盤”“移動(dòng)存儲(chǔ)”后，單擊“開始掃描”按鈕即可（圖2），等待系統(tǒng)把病毒查找出來并清除。再次打開U盤文件夾專殺工具會(huì)提示恢復(fù)U盤里面原來的文件夾數(shù)據(jù)，U盤上的文件夾后面的EXE后綴名都已經(jīng)消失了。

2.使用FolderCure軟件處理病毒

下載地址：http：//forspeed.onlinedown.net/down/flodercure784579020.zip。在網(wǎng)上下載“文件夾圖標(biāo)病毒專殺工具 FolderCure”工具后，雙擊解壓，按照窗口提示把程序安裝到本地電腦中。關(guān)閉電腦上的防火墻后，打開“文件夾圖標(biāo)病毒專殺工具”程序，勾選窗口中的“同時(shí)檢測系統(tǒng)進(jìn)程”“恢復(fù)被隱藏文件”前面的復(fù)選框，單擊“開始掃描”按鈕，在彈出的對話框選擇“執(zhí)行全盤掃描”后 ，就會(huì)把查到的木馬從電腦中清理出去（圖3）。

方法二：手動(dòng)恢復(fù)U盤文件夾中的文件

在電腦上插入已感染木馬病毒的U盤，不要雙擊直接打開U盤，右擊U盤盤符后，選擇“打開”菜單，打開U盤。接著，依次單擊窗口“工具-文件夾選項(xiàng)”菜單，打開“ 文件夾選項(xiàng)”對話框。切換至“查看”選項(xiàng)卡，找到“隱藏受保護(hù)的操作系統(tǒng)文件”“不顯示隱藏的文件、文件夾或驅(qū)動(dòng)器”“隱藏已知文件類型的擴(kuò)展名”后，去掉它們前面復(fù)選框的勾選（圖4），就可以看到被木馬病毒隱藏的原文件了。

然后，刪除所有變成EXE的文件，再清空U盤Recovery下的所有文件，尤其是Autorun.exe文件。如果用上述方法仍然不顯示被木馬病毒隱藏的原文件，按下鍵盤的“WIN+R”組合鍵，打開“運(yùn)行”對話框。在“打開”后輸入“Regedit”命令并回車，進(jìn)入“注冊表編輯器”窗口。依次展開窗口左側(cè)“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL”。在右側(cè)窗口找到字符串值“Checkedvalue”并雙擊，進(jìn)入“編輯Doword值”對話框，把“Checkedvalue”數(shù)據(jù)設(shè)為“1”即可（圖5）。