嘠熙摩多米亞的狂暴

综述：这是另一种文件夹图标病毒，同样具有Autorun属性。该病毒是用易语言编写，运行后会在系统目录下生成类似XP- 8B618895.EXE的病毒副本，其中8B618895是随机的，并搜索移动设备，生成autorun文件，并根据移动存储设备根目录文件夹名生成同 名EXE文件，并将原文件夹隐藏起来。另外病毒还会
删除临时文件及Cookies，删除IE访问记录TypedURL。

生成文件(以系统盘为C盘，winxp Sp3为例，U:\代表U盘盘符)

C:\WINDOWS\system32\XP-8B618895.EXE 1,501,856
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\Nick\「开始」菜单\程序\启动\　　　.lnk 指向C:\WINDOWS\system32\XP-8B618895.EXE（注意空格）

U:\autorun.inf

U:\Recycled.exe

在U盘根目录生成文件夹图标同名EXE文件

以下是易语言的库文件等：
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fne
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne

添加注册表启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

XP-8B618895（这里也是随机的，根据病毒名生成的不同而变）

查杀方式：

1.下载usbcleaner.并运行其中的foldercure.exe 下载地址:http://wwww.usbcleaner.cn

2.手动查杀：

结束进程

XP-8B618895.EXE（注意名称不固定，最好用icesword，其图标是文件夹容易区分）

依次删除

C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\Nick\「开始」菜单\程序\启动\　　　.lnk 指向C:\WINDOWS\system32\XP-8B618895.EXE（注意空格）

以下是易语言的库文件等：
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fne
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne

删除病毒启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

XP-8B618895（此处根据病毒名称而定）

手动删除U盘根目录的文件夹图标同名EXE文件