一、病毒相关分析：

病毒标签：

病毒名称：Worm.Win32.AutoRun.bqn

病毒类型：蠕虫

危害级别：2

感染平台：Windows

病毒大小：21,504(字节)

SHA1：01015B9F9231018A58A3CA1B5B6A27C269F807E6

加壳类型：PECompactV2.X->BitsumTechnologies

开发工具：MicrosoftVisualBasic5.0/6.0

病毒行为：

1、程序运行后，释放副本

%SystemRoot%EXPL0RER.EXE

和

%SystemRoot%autorun.inf

autorun.inf内容：

Quote:

[autorun]

open=EXPL0RER.EXE

shellopen=打开(&O)

shellopenCommand=EXPL0RER.EXE

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexploreCommand=EXPL0RER.EXE

根据文件夹名来感染生成对应的目录名.exe

然后添加文件夹属性为只读，系统，隐藏。不显示隐藏文件的效果是真实的文件夹全没了。

你看到的文件夹图标的都是病毒，因为病毒的图标是文件夹。

篡改注册表，不显示隐藏文件、系统文件和扩展名。

注册表主要变化：

修改值:65

Quote:

新HKLMSOFTWAREClasseschm.fileshellopencommand:"C:WINDOWSEXPL0RER.EXE%1"

旧HKLMSOFTWAREClasseschm.fileshellopencommand:""C:WINDOWShh.exe"%1"

新HKLMSOFTWAREClassesDirectoryshell:"open"

旧HKLMSOFTWAREClassesDirectoryshell:"none"

新HKLMSOFTWAREClassesDriveshell:"open"

旧HKLMSOFTWAREClassesDriveshell:"none"

新HKLMSOFTWAREClassesregfileshellopencommand:"C:WINDOWSEXPL0RER.EXE%1"

旧HKLMSOFTWAREClassesregfileshellopencommand:"regedit.exe"%1""

新HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue:0x00000003

旧HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue:0x00000002

新HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue:0x00000002

旧HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue:0x00000001

二、解决方案

下载使用wsyscheck，打开wsyscheck.exe,进程管理－－结束病毒进程EXPL0RER.EXE并删除。

1.SREng修复文件关联系统修复－－文件关联－－全选－－自动修复

2.修复磁盘打开方式、文件夹打开方式

Quote:

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINESOFTWAREClassesDriveshell]

@="none"

[-HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellexplore]

[-HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellopen]

[HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshell]

@="none"

[-HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellexplore]

[-HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellopen]

3.显示系统文件、隐藏文件、显示隐藏文件夹

Quote:

WindowsRegistryEditorVersion5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

"Hidden"=dword:00000001

"HideFileExt"=dword:00000000

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN]

"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

杀毒软件全盘扫描

使用第三方工具去掉各分区下被隐藏的文件夹，主要是去掉系统属性