spec.fne病毒

 

      最近一段时间上网，开机不久avast就报警说有病毒，仔细一看是什么和易语言库文件spec.fne有关的东西，于是没有深究就选择删除操作，但是每次avast都是删除失败。次数多了，于是查看一下进程表发现可疑进程

XP-63E83BEB.EXE，上网一搜索才知道果然有病毒。

      这是一种广告木马病毒，也是文件图标病毒，同样具有Autorun属性。该病毒是用易语言编写，运行后会在系统目录system32下生成类似XP-63E83BEB.EXE的病毒副本，其中63E83BEB是随机的，并搜索移动设备，生成autorun文件，并根据移动存储设备根目录文件夹名生成同名EXE文件，并将原文件夹隐藏起来。另外病毒还会删除临时文件及Cookies，删除IE访问记录TypedURL。

 

感染以后的表现：

生成文件(以系统盘为C盘，winxp Sp3为例，U:/代表U盘盘符)

C:/WINDOWS/system32/XP-63E83BEB.EXE
C:/WINDOWS/system32/ul.dll
C:/WINDOWS/system32/og.dll
C:/WINDOWS/system32/com.run
C:/Documents and Settings/guoguo/「开始」菜单/程序/启动/　　　.lnk 指向C:/WINDOW
S/system32/XP-63E83BEB.EXE（注意空格，XP-63E83BEB.EXE是隐藏文件夹图标的名字）

以下是生成的易语言库文件：

C:/WINDOWS/system32/dp1.fne
C:/WINDOWS/system32/eAPI.fne
C:/WINDOWS/system32/internet.fne
C:/WINDOWS/system32/krnln.fnr
C:/WINDOWS/system32/RegEx.fnr
C:/WINDOWS/system32/shell.fne
C:/WINDOWS/system32/spec.fne

U:/autorun.inf

U:/Recycled.exe

在U盘根目录生成文件夹图标同名EXE文件，并将原文件夹隐藏起来。

 

添加注册表启动项：

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
XP-63E83BEB（这里也是随机的，根据病毒名生成的不同而变）

查杀方法：

1。下载最新的usbcleaner,并运行其中的foldercure.exe (文件夹图标病毒扫描器)。

 

2手动查杀：结束进程

XP-63E83BEB.EXE（注意名称不固定）

依次删除

C:/WINDOWS/system32/ul.dll 2,404
C:/WINDOWS/system32/og.dll 692
C:/WINDOWS/system32/com.run 270,336
C:/Documents and Settings/guoguo/「开始」菜单/程序/启动/　　　.lnk 指向C:/WINDOW
S/system32/XP-8B618895.EXE（注意空格）

以下是易语言的库文件等：
C:/WINDOWS/system32/dp1.fne
C:/WINDOWS/system32/eAPI.fne
C:/WINDOWS/system32/internet.fne
C:/WINDOWS/system32/krnln.fnr
C:/WINDOWS/system32/RegEx.fnr
C:/WINDOWS/system32/shell.fne
C:/WINDOWS/system32/spec.fne

删除病毒启动项

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

XP-8B618895（此处根据病毒名称而定）

手动删除U盘根目录的文件夹图标同名EXE文件即可！

PS:参考了网上类似资源，实际动手操作一边，证明是有效地，纠正的了相关的步骤！共享是王道！