【IT168 专稿】网民在进行网络活动时，经常会遇到系统时间被改，文件被隐藏，甚至各个盘符打不开 ，而杀毒软件却因为系统时间的关系形成无法启动，虽然可以通过重装系统来解决，但重装过后的计算机病毒还是会在用户不小心时进驻系统，发作时将直接导至用户机为病毒木马敞开了大门，以至于让更多的木马病毒感染用户机。

    病毒启动文件分析
    该病毒名为Worm.Win32.AutoRun.bqn属于蠕虫病毒，病毒虽然只有21,504(字节)，但其危力却不容任何人小视。病毒一但进入到用户计算机，首先会在主分区 %SystemRoot%\下释放出副本文件EXPL0RER.EXE可执行程序及autorun.inf文件，其内容如下：
    [autorun]
    open=EXPL0RER.EXE
    shell\open=打开(&O)
    shell\open\Command=EXPL0RER.EXE
    shell\open\Default=1
    shell\explore=资源管理器(&X)
    shell\explore\Command=EXPL0RER.EXE

    病毒运行后，将根据文件夹名来感染生成对应的文录名.exe文件，随后自动修改生成的文件夹属性为只读、系统、隐藏式，实现将自身隐匿的效果，而用户看到的文件夹图标的都是病毒所修改后的图标，让其无法查觉真实的病毒。

    注册表对比
    此时病毒依然按照套路篡改注册表，以达不显示隐藏文件、系统文件和扩展名的效果，让用户在点击：工具-文夹件选项—查看—显视所有文件和文件夹时无法查看隐藏文件，更无从删除的目的。其注册表对应变化如下：

    修改前 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"     
    修改后 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"

    修改前 HKLM\SOFTWARE\Classes\Directory\shell\: "none"
    修改后 HKLM\SOFTWARE\Classes\Directory\shell\: "open"

    修改前 HKLM\SOFTWARE\Classes\Drive\shell\: "none"
    修改后 HKLM\SOFTWARE\Classes\Drive\shell\: "open"

    修改前 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""
    修改后 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"

    修改前 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002
    修改后 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003

    修改前 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
    修改后 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002

    清除方案
    网民可以通过下载使用wsyscheck或冰刃来进行修复删除处理。下面以wsyscheck 为例，首先打开 wsyscheck.exe —进程管理－结束病毒进程EXPL0RER.EXE并删除；然后利用SREng修复文件关联功能依次如下：系统修复－文件关联－全选－自动修复即可；然后修复磁盘与文件夹打开方式，其字符如下：

    [quote]
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
    @="none"

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
    @="none"

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]
    [/quote]

    最后显示系统文件、隐藏文件、显示隐藏文件夹，如下：

    [quote]
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"=dword:00000001
    "HideFileExt"=dword:00000000
    "ShowSuperHidden"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

    CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "CheckedValue"=dword:00000002
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

    CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "CheckedValue"=dword:00000001
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    [/quote]

    全盘扫尾
    完成上述步骤后，被感染的用户可以通过修改回文件的：只读、系统、隐藏式属性来显视文件，其方法如下，依次点击：我的电脑—工具—文件夹选项—查看—将其内的[显示系统文件夹][显示所有文件和文件夹]两处地方选中打上钩，然后再次将查看里的[隐藏已知文件扩展名]里的钩去掉，点击确定退出即可。最后将计算机中的杀毒软件病毒更新到最新版本，然后进行全盘杀毒。（如杀毒软件无法运行，则需查看电脑日期时间是否为当前日，如非当前日更改回即可）

    编者按：中毒不可怕，只要掌握该病毒进驻的过程，那么清除起来将十分简单，而如果对当前的病毒一无所知，那么在清除过程中将会一愁莫展，只得重新做系统，才能实现无毒操作。