FakeFolder病毒
1、病毒现象
被感染主机,系统中的文件夹全部变成了大小相同的“应用程序”exe类文件,如图所示:
“文件夹选项”变灰无法选择:
2、病毒处置
结束进程:样式为文件夹图标的C:\ProgramData\wmimgmt.exe
使用杀软进行全盘查杀病毒,并隔离病毒
3、显示隐藏文件及恢复隐藏属性的方法:
(1)、开始>运行>gpedit.msc
(2)、用户配置 > 管理模块 > windows组件 > windows资源管理器 > 从”工具”菜单删除”文件夹选项”菜单,改为”已禁用”。
(3)、文件夹和搜索选项即可显示,如图:
(4)、 按下图选择后,点击保存即可显示被隐藏的文件:
(5)、如果想将被改为“隐藏”的文件夹恢复为正常显示,将下列脚本保存为bat后缀的文件,并放在需要恢复的目录下进行恢复。脚本如下:
:: BatchGotAdmin :————————————- REM –> Check for permissions nul 2>&1 “%SYSTEMROOT%\system32\cacls.exe” “%SYSTEMROOT%\system32\config\system” REM –> If error flag set, we do not have admin. if ‘%errorlevel%’ NEQ ‘0’ ( echo Requesting administrative privileges… goto UACPrompt ) else ( goto gotAdmin ) :UACPrompt echo Set UAC = CreateObject^(“Shell.Application”^) > “%temp%\getadmin.vbs” echo UAC.ShellExecute “%~s0”, “”, “”, “runas”, 1 >> “%temp%\getadmin.vbs” “%temp%\getadmin.vbs” exit /B :gotAdmin if exist “%temp%\getadmin.vbs” ( del “%temp%\getadmin.vbs” ) pushd “%CD%” CD /D “%~dp0” :————————————– for /f “delims=?” %%a in (‘dir /a /b’) do attrib -a -s -h -r “%%a” pause>nul exit
4、病毒详情
http://sec.sangfor.com.cn/events/230.html