一种顽固的PE病毒--DesktopLayer！

jianghui2010

    今天给各位坛友谈一下一种不知何时，何处，来自哪款，植入于pe的病毒--DesktopLayer！这种病毒十分顽固，也十分坑，请大家注意！请看它是如何顽固的：
① 格式化U盘，无用
② Ghost恢复系统，无用
② 全新重装系统，无用
④ 影子系统8.5.5，无用，可以绕过还原系统
⑤ 文件夹图标全盘查杀，无用
⑥ 360专杀，无用
⑦ 金山毒霸专杀，无用
。。。。
无论采取什么形式，就是会死灰复燃！U盘始终是文件夹图标！
各种网络查询后，得知有一种病毒叫计算机端口病毒，攻击139、445端口等等，就是驻扎在某些端口上的病毒，也可能变种成勒索病毒，还有说中了超级工厂病毒，大家可以查询百度当年西门子和伊朗核电站就被超级工厂病毒干过，据说是美国官方研制出来的，对付西方国家的蠕虫病毒，很难杀除。看到这些，我也怕了，难道没有办法了吗，电脑扔了，重新更换？简直是又气又恨！

故事还得从1月初说起。当时，我浏览各大pe网站，pe论坛，当然也包括无忧，是想发掘几款好用的pe，不打算更新，意想长期使用，于是在以上网站以及论坛各种下载，然后使用自己的闪迪4G U盘进行一一制作和测试。然而，就在测试几款pe后，发现了一个问题：U盘图标变成了文件夹形式，所以第一时间怀疑是中了文件夹图标病毒，于是一不做二不休，使用pe的还原空间，将U盘恢复出厂值，拔掉，然后重新刻录，然而发现，不行！一重新插就就又成了文件夹图标，于是，我将系统文件隐藏功能全部关闭，查看U盘根目录到底是什么文件，发现U盘内有个RECYCLE文件夹，这个文件夹和正常的回收站是不一样的，文件夹里有一串字母，后缀是exe文件。于是删除，但是删除后又出来别的，而且1-2秒会增加一个，也就是说，如果不清除，会一直增加下去，一个文件就几kb，于是进入pe再次手动删除，还是如故。没有办法，上网各种查询，如何处理，有些复制党说了一堆，根本不管用，还有说是正常回收站或者系统文件，真的呵呵。


后来，下载了一个从没用过的火绒杀毒软件，断网，全盘查杀，查杀了将近2个小时，清除了5000多个病毒！！后来才知道，有个能人说叫DesktopLayer病毒！而且位置在：C:\Program Files (x86)\Microsoft里，但是我找了，没找到，查杀完，火绒显示是Raminit.ep病毒！蠕虫！后来又下载了一个赛门铁克的Raminit蠕虫专杀工具："FxRamnit"。彻底清扫了电脑。U盘再也不显示文件夹了！原来这种蠕虫病毒已经感染了电脑里很多文件！早就功成身退了。。。只要一打开感染的文件就激活，怪不得重装、格式化都没有用！


后来想想，终于明白了原因:
这种病毒的原理就像给你的文件穿了一身衣服，但是你的文件还在！
而且，这种病毒是潜藏在已经被感染的软件里，而且平常使用悄无声息，但只会通过U盘传播！很奇怪的是，有些电脑有反应，而有些电脑无任何征兆，这一点匪夷所思，大家也可以查询一些这方面的信息，有些网友和我说的是一种情况。其实一旦发现这种情况，证明电脑的许多文件已经不干净了，这时不建议删除文件，只推荐使用杀毒软件，全盘查杀，脱去病毒的衣服！至于选哪一家，自己斟酌吧。这里必须要吐槽一下360、金山毒霸，还有一些专杀工具，平时杀杀小毒，提个醒什么的刷刷存在感还行，一到关键时候真不顶用啊，只防君子不挡小人啊！

jianghui2010

也许有人会说，不下载不明软件，不乱安装不就行了吗？但是，作为肉眼凡胎，病毒何时出现、何时发作是无法预见的，不经意间也许就来到了身边。有些病毒是温柔型的，悄悄的来，悄悄的走，有些病毒是暴力的，措手不及，全盘文件沦丧（比如勒索病毒）。因噎废食，不可行，只能既来之则安之，自己多小心，虚心请教懂的人，解决问题才是关键。

Liberation

无忧论坛的PE还是比较干净好用的，至少我试过的很多pe都无毒。不知道楼主说的病毒来自什么PE？

jianghui2010

Liberation 发表于 2020-7-25 20:24
无忧论坛的PE还是比较干净好用的，至少我试过的很多pe都无毒。不知道楼主说的病毒来自什么PE？

我也不清楚，在使用好几款pe后，中间都没发现，偶然发现U盘图标变成文件夹。但我也怀疑应该不是无忧里的，有可能是pe网站上的，至于是哪一家，感觉很难找到，这种传播一般不会发作，只在特定情况下会被激活。

Liberation

jianghui2010 发表于 2020-7-25 20:31
我也不清楚，在使用好几款pe后，中间都没发现，偶然发现U盘图标变成文件夹。但我也怀疑应该不是无忧里的 ...

我觉得找PE，无忧论坛足够了，一些不知名的或者带广告，页面不太正规的，我直接无视的。楼主访问的其他网站大概能发来看看吗

lyq1959

太可怕了！

rgy

楼主是不是想告诉大家：电脑上要是没有靠谱的杀毒软件就不要在网上乱下什么软件PE的，不然只会惹毒上身，楼主就是例子。

jianghui2010

rgy 发表于 2020-7-25 20:51
楼主是不是想告诉大家：电脑上要是没有靠谱的杀毒软件就不要在网上乱下什么软件PE的，不然只会惹毒上身，楼 ...

是的，强烈建议大家安装杀毒软件，不要裸奔！当然，只要你足够自信！

Liberation

jianghui2010 发表于 2020-7-25 20:55
是的，强烈建议大家安装杀毒软件，不要裸奔！当然，只要你足够自信！

火绒还是比较好用的，比较安静，占用资源少

jianghui2010

Liberation 发表于 2020-7-25 20:43
我觉得找PE，无忧论坛足够了，一些不知名的或者带广告，页面不太正规的，我直接无视的。楼主访 ...

有的，稍晚点整理一下

2013ertert

最后是如何杀了这个病毒？

jianghui2010

2013ertert 发表于 2020-7-25 20:57
最后是如何杀了这个病毒？

用的火绒全盘断网查杀，然后又用了赛门铁克专杀工具："FxRamnit"，二次查杀。所有病毒清除。再也没出现过。现在还保留在电脑上，以备不时之需。主要是非常安静，就像L大说的一样，欣赏她的安静！当然，不止这一款，各有所爱。自己斟酌，今天的目的是传播一下这种病毒的情况，深受其害，将经验分享给大家，留作参考。

不才

嘿嘿，这种病毒忒常见了吧！不知与pe有个毛线关系？
想复习一下的话，偶可以给你一个再把玩一下哈。

xiaojinglf

他没有到我手里

2012andyle113

说了一大堆，不就是自己不知道哪里中了个，古董威金病毒嘛，这玩意最大的问题就是感染的种类范围大，只要留下任何一个没清除干净，就要重新杀一逼

jianghui2010

2012andyle113 发表于 2020-7-25 21:43
说了一大堆，不就是自己不知道哪里中了个，古董威金病毒嘛，这玩意最大的问题就是感染的种类范围大，只要留 ...

大侠，膜拜！

tars-chiu

换块硬盘感觉最快

fjzjk

这种古董病毒了，各种大学机房里很多。
还有变种，一旦你打开带360字样的程序或者网页就给你强制关闭，因为他知道360能杀。但是一般大学机房都带还原卡的，杀完又恢复回去了，机房都没网管去彻底杀一遍的。

cjy110

最好还是不要去网上乱下载

ifreee

病毒太多了麻烦

sz_kent

呵呵，楼主少见多怪，能杀死的已经不是病毒了，杀不死的才是病毒。

2010twinsram

好吧，你试试diskgen删除所有分区，重新分区，重建MBR。一般来说，这是引导区病毒，硬盘常规的格式化无法清除。

pewors

360、金山毒霸、电脑管家确实不顶用，有时候还能和U盘病毒和谐共处。这种感染型的最好在安全模式下查杀才容易断根。

曹虎子

发火绒论坛
试试

FrostedGlass

PE基本上坛子里的就够了。。。虽然我用的pe是我自己弄的。。

以前中过文件夹木马，熊猫烧香，维金，usp10.dll,lpk.dll，btb勒索者(这个是自己动手铲的)，后来留了个心眼，u盘在专门的机器上用，网上来源不明的exe在虚拟机先跑一遍，检测虚拟机环境的，直接删(除非软件真的是有需求必须实体机才能满足)

lhc12399

硬盘全格式化也不行？抹去所有硬盘数据也不行？

新建

文件夹病毒，通过U盘传播。被感染的电脑的文件夹的名称不变，但大小变了，且后缀是exe可执行文件。真正的文件夹文件还在只是被隐藏了。显示所有文件夹，把exe的文件夹删除了就行了。（当有一个文件夹后缀exe时，不要双击打开这个文件夹，否则所有的文件夹就被感染了。）

holley2008

格式化U盘 并不是无用，，你这是被反复交叉感染而已。安全模式下格式化U盘拔掉，首先要断网确认系统干净了 ，再插入U盘 测试，，第一次打开不要双击，右键的方式打开。一次操作不严谨就会中招。金山急救箱、360急救箱（担心感染可压缩加密额外保存一份，有问题时重新解压使用）都是有用呢，，只不过你后面连急救箱本身都再次被感染导致无效罢了。FxRamnit也是专门针对exe文件夹病毒的利器，可以留存一份的。还有一些针对U盘显示隐藏文件或免疫U盘的旧工具如USBCleaner、USBKiller等都有一定的疗效。

yzw92

稍晚点整理一下

dkzzlf

江湖险恶啊，且行且珍惜

2012meiliguo

看看知乎上对各种杀软的评价
https://zhuanlan.zhihu.com/p/40563559