病毒文件夹模仿者解决方法

2023年12月8日发(作者：)

“文件夹模仿者”（.1406378），这是一个可借助U盘传播的木马程序。该毒还通过将自己的文件伪装成文件夹图标，欺骗用户点击。

你试试看用瑞星在安全模式下全盘杀毒

进入安全模式的方法是

1、在计算机开启BIOS加载完之后，迅速按下F8键，在出现的WindowsXP高级选项菜单中选择“安全模式”；

2、如果有多系统引导，在选择WindowsXP启动时，当按下回车键，就应该迅速地按下F8键（最好两只手进行操作），在出现的WindowsXP高级选项菜单中选择“安全模式”。

摘要：今天突然发现计算机有点异常，只要一打开Windows资源管理器左侧的文件夹，就会崩溃，检查了一下发现中了n病毒。尽管机器安装了最新版本的瑞星杀毒软件，但是根本就检测不到该病毒。Symantec可以检测到，但是单位的涉密计算机就不允许安装国外的杀毒软件，只能用瑞星。在网上搜索了一下，在Symantec的网站上可以下载杀毒软件包。下回来运行了一下，可以把病毒删除了，下面是删除的日志文件：

全文：/zealsoft/archive/2009/05/11/

我说过瑞星杀不了的病毒，结果发现换成Symentec，也会有杀不了的病毒。今天就碰上一个：.1406378。这个病毒的症状就是你插入一个新U盘，它就会在U盘上建立几个和U盘上目录同名的.EXE文件，从而达到传播的目的。这是个病毒变种，最新的Symentec也没有查出来。金山的在线杀毒可以查出来，但是如果想杀需要交钱。这点不如Symentec厚道，Symentec查出的病毒大多提供免费的杀毒工具，买不买没关系

这个病毒的清除似乎不难，先在任务管理器中找到一个文件名为随机生成的数字的进程，我的机器上为，然后直接关闭这个进程。然后在WindowsSystem32的某个随机数目录中删除掉这个.EXE文件。再清楚掉注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中的对应项就可以了。重新启动，检查一下新插入的U盘没有产生病毒文件就说明删除了。

展开描述：模仿文件夹图标，欺骗用户点击

症状：U盘文件夹图标被替换，杀毒后文件夹丢失

卡巴命名:、

瑞星命名:、 NOD32命名:、

McAfee命名:s、s

此毒为.1407388（文件夹模仿者）的一款变种，感染该毒后的所有症状完全一致。

出处：PConline 2009年11月17日 作者：金山毒霸 责任编辑：huanghaiming

.1406378（文件夹模仿者变种）

展开描述： 模仿文件夹图标，欺骗用户点击

症状：U盘文件夹图标被替换，杀毒后文件夹丢失

卡巴命名： 、

瑞星命名：、

NOD32命名：、

McAfee命名： virus、 virus

此毒为.1407388（文件夹模仿者）的一款变种，感染该毒后的所有症状完全一致。

.a.820224 （Delphi梦魇）

展开描述：感染Delphi环境，从源头污染程序

症状：无任何症状

卡巴命名：.a

NOD32命名：.A

这是一个针对Delphi程序员的病毒“Delphi梦魇”，它专门感染Delphi程序员的电脑，一旦成功，程序员今后写出的任何程序，都将带有该毒。

当随着被感染文件进入电脑系统，“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi 的安装目录，如果找到dephi，就将恶意代码前排插入文件，这个文件编译的时候，会生成，而这个文件会被添加到每个新的dephi工程中。于是，Delphi程序员们所编写的程序就全部带毒了。

该毒不具备破坏能行为，但由于其在技术和攻击方式上的突破，已经成为一些不法黑客借鉴和改造的对象，基于该毒改写的下载器已经在技术上实现，一旦被广泛利用，后果难以想像。而且目前国内除金山毒霸外，尚无别的杀软厂家具备查杀该毒的能力，这更加重了国内网络的危险。

.73816 （在线盗号器ZT）

展开描述：盗窃网游账号

症状：找不到系统文件

卡巴命名：、c

瑞星命名：

NOD32命名：

McAfee命名： trojan、Generic trojan

10月份，关于“C:”的询问量有所增加。很多用户发现自己电脑里的这个文件丢失了，造成系统异常，这其实是病毒感染造成的。某些下载器和盗号木马在运行过程中感染了这一文件，对其造成严重破坏，无法正常修复。而.73816 （在线盗号器ZT）就是一个这种类型的木马。

此毒近来频繁出现在网游玩家的电脑中，它一旦运行就会搜索多款流行网游的进程注入，执行盗窃账号的任务。金山毒霸反病毒工程师对该毒进行分析后，发现它主要是由一些木马下载器下载到用户电脑中的，而这些下载器又多半与一些游戏外挂插件捆绑。

因此，避免遭遇该毒的最好办法就是不要下载那些未经游戏运营商认证的插件，以免被此毒混入电脑。如果您电脑上的毒霸频繁报告发现该毒，可使用金山清理专家中的垃圾文件清理功能，清空系统缓存。并下载运行免费的金山急救箱对可能存在的下载器母体进行灭活。然后，从网上或其它正常电脑上复制文件到自己电脑的相应路径下，再重启系统即可。

.38507 （CFG网游盗号器变种）

展开描述：依靠网页挂马传播，盗窃网游帐号

症状：游戏密码失效，装备丢失，网游帐号被盗

卡巴命名：、 瑞星命名：、

NOD32命名：

“CFG网游盗号器变种”（.38507）本月继续在TOP榜中保持上月的排名。这款盗号木马主要依靠网页挂马传播，能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞，就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒，或者先下载一个类似宝马下载器这样的普通下载器，再下载此盗号木马。

如果毒霸频繁提示发现此毒，表明系统中很可能存在未知的下载器，造成每次删除后又再次下载。这种情况不用慌，只需安装并运行金山安全实验室免费提供的“金山急救箱”，对未知下载器进行灭活，即可解决问题。

.53400（网游帐号吞吃兽）

展开描述：盗取帐号

症状：游戏装备丢失，帐号密码总输不对

卡巴命名：、c

瑞星命名：

NOD32命名：

McAfee命名： trojan

这款盗号木马也是安全月报中的老面孔了，在上期月报中我们就对它做过介绍，所不同的是，本月它的感染量下降了一半。该毒会盗取多款著名游戏的账号密码信息，然后发送到病毒作者指定的地址。

该毒依靠挂马下载器和捆绑于其它文件的下载器的帮助，入侵用户电脑，盗窃游戏账号后将其发送到病毒作者指定的地址，随后很快就会被职业的洗号者将游戏账号中可自由交易的物品全部盗走，用户即时找回账号，能得到的也只剩一个“一丝不挂”的游戏角色。

如发现系统中有此毒无法彻底删除，很可能是有未知下载器不断将该毒下载到电脑中，可下载运行金山安全实验室的“金山急救箱”，将下载器灭活，同时运行清理专家的漏洞检查功能，查看是否有安全漏洞需要更新。

.180224（IE主页篡改器ZE）

展开描述：修改IE主页，弹出广告页面 症状：IE弹出广告页面，桌面出现网页文件

卡巴命名：、

瑞星命名：

NOD32命名：

“IE主页篡改器ZE”（.180224）这个广告程序在9月底时开始流行，近日又开始频频现身。

该毒主要是随着一些小型软件传播，病毒团伙将该毒捆绑在某些受欢迎的小程序里，当用户下载这些程序时，该毒就跟着混进电脑。然后它就修改IE浏览器的数据，将主页锁定为病毒作者规定的地址。

这样一来，用户每次打开IE浏览器都要被迫浏览广告页面，为这些网站“贡献”流量。而病毒团伙也就可以从中获取提成，牟取不义之财。

避免遭遇该毒的最简单办法，是不要去那些不知名的小型下载站点或不良网站，这些地方提供的视频播放器或工具多半包含此毒或类似的病毒木马。

十大影响较大的被挂马网站

此榜中的网站，均曾在10月遭到过病毒团伙攻击，并被挂上脚本木马。我们从记录到的挂马网站中，按知名度、访问量人数，以及网站代表性进行综合评估，选出十个，得出此榜。其中一些网站的挂马，截止本期月报截稿时尚未清除。

其中，中国农民工维权网、福建省医药价格信息网、成都市劳动保障信息网等网站这些网站属于社会服务性质，对他们下手，某种程度上显示出黑客在道德方面的缺失。而公安现役部队招募报名系统被挂马，则有可能造成应征者的个人信息泄露。

中国农民工维权网 hxxp:///zhi/rdgz/?id=38

福建省医药价格信息网 hxxp:///xyty/

贵州茅台酒厂 hxxp://

齐鲁晚报 hxxp:///tianqi

沧州住房公积金管理中心 hxxp:///?ywlc=5

中国华东进出口商品交易会 hxxp:/// 公安现役部队招募报名系统 hxxp:///hr/?module=login

天气预报网 hxxp:///city/

龙门石窟 hxxp:///wyh

成都市劳动保障信息网 hxxp:///?link=3

每次打开电脑都会自动弹出E盘的一个新建文件夹，请问大侠们如何取消呢？

问题补充：

我在开始运行里输入了msconfig 在启动里除了ctfmon和360外其他框框的勾都去掉了 关机重启后仍然会弹出E盘新建文件夹，这是为什么啊？

谢谢各位，我用自己的办法解决了。我把文件夹里的东西挪到别的文件夹里，删除文件夹就可以了。

开机速度有点慢,可能是随Windows启动项有点多的缘故,运行msconfig，就可以看到电脑启动时加载的程序。下面是一些常用的系统程序和应用程序。如果你的电脑中有一些来路不明的启动项，就得考虑是否中毒或者中了木马。

启动项中除了杀毒软件和输入法(cftmon不可关闭否则你就不会在任务栏看语言栏了）外，其它的都可以关闭或者使用者可以根据自己的需要自由地选择取舍。其实关闭并不是删除，只是开机时不运行罢了。你若想运行可以从程序菜单中打开。 常见应用程序的启动项：

－－－－－－－－－－－－是卡巴斯基Kaspersky反病毒套装的一部分，用于保护你的计算机免受病毒和蠕虫的攻击；

popproxy －－－－－－－－－－－－瑞星防火墙；

RavMon －－－－－－－－－－－－ 瑞星杀毒软件；

RavTimer－－－－－－－－－－－－ 瑞星杀毒软件；

360tray-------------------------------------------360安全卫士；

Kingsoft AntiVirus （KavStart ）－－ 金山毒霸的启动项；

Kingsoft PFW－－－－－－－－－－ 是金山杀毒软件个人防火墙相启动项；

KAVRun －－－－－－－－－－－－ 金山毒霸启动时加载的用户进程信息；

McAfeeVirusScanService －－－－－杀毒软件McAfee Virus ；

RealTray －－－－－－－－－－－－ Realplay的启动项；

realsched－－－－－－－－－－－－是realplayer检查网上有没有这个软件的更新而启动 的服务。可去掉.但在每次运行realsched时就可能会再次出现；

TkBellExe－－－－－－－－－－－－ RealOnePlayer的启动项 ；

Winampa－－－－－－－－－－－－ MP3播放器Winamp；

NDetect －－－－－－－－－－－－ ICQ的启动程序，该论坛有恶意程序，应禁止；

CnsMin －－－－－－－－－－－－－3721网站的中文域名；

stormset－－－－－－－－－－－－这个是暴风影音的设置程序，比如自动升级等功能。属于后台运行的程序，取消完全没有问题；

MiniQQLive－－－－－－－－－－－－QQ直播；

Demon－－－－－－－－－－－－－－虚拟光驱；

JrInt－－－－－－－－－－－－－－－－－ CPU降温圣手。

系统常见的启动项：

－－－－－－－－－－－－是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。输入法会出现在屏幕右下角，建议不删。

NvCpl －－－－－－－－－－－－－是显卡桌面管理调节程序；

－－－－－－－－－－－－ 是NVIDIA显示卡相关动态链接库文件。可以停用；

nvmctray - -－－－－－－ DLL文件信息是显示卡相关文件。

－－－－－－－－－－－－输入法指示器程序

LoadPowerProfile－－－－－－－－－ Win98/Me电源管理

PCHealth －－－－－－－－－－－－ WinMe系统自愈功能

ScanRegistry －－－－－－－－－－－启动时检查并备份注册表

SchedulingAgent －－－－－－－－－ 系统计划任务程序

Synchronization Manager－－－－－－ Win2000同步管理

SystemTray－－－－－－－－－－－ 系统托盘,管理内存驻留程序 Taskbar Display Controls －－－－－ 屏幕-属性-设置-高级-在任务栏中显示图标

TaskMonitor －－－－－－－－－－－任务检测程序，记录使用软件情况

*StateMgr －－－－－－－－－－ WinMe系统还原

msmsgs Windows Messenger －－－是微软公司推出的一个在线聊天和即时通讯客户端。

Rundll32 cmicnfg－－－－－－－－－是32位的链接库，使电脑能运行..dll类型的文件，建议不要禁用；

－－－－－－－－－ 是Realtek声卡相关程序。该进程在系统托盘驻留，用于进行快速访问和诊断。可关掉.

－－－－－－－－－－－ 是intel显卡配置和诊断程序，会在安装intel 810芯片组的集成显卡驱动时一起安装。关掉试试.

－－－－－－－－－－－－此进程是主板上集成显卡的一个驱动控制台文件， 常和 一起出现，如intel865G芯片集成的显卡。但该命令常会被黑客或木马利用，需要注意。可以禁用，不是病毒，但可能被病毒替代。

－－－－－－－－－－－－－是NVIDIA nView控制面板在NVIDA显卡驱动中被安装，用于调整和设定。可停用.；

如何在Msconfig中设置启动项

1. 运行Msconfig

s 9X/Me/XP

在Windows 9X/Me/XP系统中，可以单击“开始→运行”，在运行框中输入“Msconfig”，确定运行，在打开的系统配置实用程序窗中选择“启动”标签，此时便可看到很多的启动项目。

s 2000

而在Windows 2000这个功能被禁止了，但我们可以通过“借用”的手段把Windows XP的Msconfig文件借过来。可将C:WINDOWSPCHEALTHHELPCTRBinaries目录下的Msconfig拷贝至 Windows

2000目录中。

2. 默认的启动项目

启动项目中，不同系统不同用户不会相同，怎样弄明白这些启动项目的用处呢？下面咱们先来看看这些默认的启动项目，即非外部程序的启动项。

s 9X/Me

：这是Windows 98/Me输入法切换程序。可以禁用其自动运行，但关闭其运行后在系统托盘区内便看不到输入法的图标。

ScanRegistry：注册表备份程序。如果注册表被破坏，可利用其自动备份进行修复，因此建议不要禁用。

TaskMonitor：任务检测程序。它可监视软件的使用情况，结果会保存在系统盘windowsapplog文件夹下的文件中，建议不要禁用。

SystemTray：管理驻留内存的程序。当内存被占满时会自动释放不再被使用的信息，建议不要禁用。 LoadPowerProfile：电源管理程序。建议不要禁用。

SchedulingAgent：系统计划任务程序，对于没有采用计划任务程序的用户(大部分用户没有使用它)，可以禁用。

s XP

IMJPMIG：微软输入法编辑程序的一部分，使计算机能够输入亚洲的字符，建议不要禁用。

TINTSETP：微软新注音输入法程序。建议不要禁用。

MsnMsgr：微软即时通信软件MSN Messenger程序。可以禁用。

s 2000

RUNDLL32：作用是呼叫32位的链接库，使计算机能够执行.dll类文件。建议不要禁用。

Internat：与Windows 9X/Me相同。

另：在各系统中，除了这些默认启动项外，还有一些硬件的驱动程序也会产生启动项，如果禁止它们便会使相应硬件不能正确使用。

3. 设置启动项

对Msconfig有了基本认识了之后我们便可对自己想禁用的程序进行禁止了。首先在启动项中找到要禁止的启动项，再在它前面的方框中去掉小钩，然后单击系统配置实用程序窗下端的“应用”钮就可以了。例如大家在安装QQ后，会发现每次重启计算机进入后都会弹出QQ登录窗，如果想禁止它在系统启动后自动运行，在Msconfig窗口中的“启动”标签下，找到“腾讯QQ”，用鼠标单击“启动项目”栏中的方框，去掉勾选，再按“确定”退出。重启计算机后QQ就不会自动运行了。当然如果以后又需要它在开机时就运行，可再进入启动标签，在它前面的方框勾选即可。

另：对于相应程序在Msconfig中产生的启动项，一般都与原程序名称相同，同时我们也可查看“启动项目”后的“命令”栏，查看其对应的路径及程序名称来核实要禁止的程序。