“文件夹图标”病毒专杀工具FolderCureV4.8病毒库：0901011-1

运行平台：Windows 2000/NT/XP/2003/Vista(注：Vista系统请以管理员身份运行)

支持简体中文/繁体中文操作系统

更新日期：2009-10-10

更新内容：

增加Ai_Boy与WinRat病毒产生的desktop.ini垃圾文件专门清理模块--desktop.ini清理，注意此模块只清理这两种病毒产生的垃圾desktop.ini不会对正常的desktop.ini进行处理

对扫描引擎进行部分调整

增加7个新文件夹图标病毒的查杀，其中包括新scr文件夹图标的查杀

Size: 360960 bytes
File Version: 4.08
MD5: 6F8890DF18B6C3369581E6DCA8E60CE0
SHA1: 5BD34356494E7A6FBAF741EFFF50F17C7CBB8DFD
CRC32: 3EC874DA

介绍：＂文件夹图标＂病毒专杀工具FolderCure是U盘病毒专杀工具USBCLeaner的一个增强组件，专门用于清理生成同名文件夹EXE文件，并隐藏原文件夹的病毒。并具有修复显示隐藏文件及系统文件，修复磁盘双击打开，处理磁盘根目录Autorun自运行文件的功能，查杀更多U盘病毒和了解本程序请访问.

下载地址：

经与Mcafee病毒处理部门联系，此误报的问题已经解决。以下是Mcafee的回复：

Avert™ Sample Analysis
Issue Number:5560393
Virus Researcher: Romain Levy
Filename: update.exe
Detected as / in DAT: Generic Downloader.z / 5762
Identified: No Virus/Trojan
McAfee Avert™ Labs, Aylesbury, UK

Thank you for submitting your suspicious file.
Synopsis -

Our Senior Virus Research Engineers have examined the file in question and no virus was found.

Solution -

Attached is an extra.dat with correct detection. This correction will be included in the next DAT update.

大意是：我们的资深病毒分析工程师已经检测了该文件，没有发现病毒。

解决方法：

下载附件中的extra.dat 来修正这一报告。下次病毒库更新时Mcafee会解决这一问题。

extra.dat 的用法用Mcafee的应该知道吧

extra.dat 下载

http://www.usbcleaner.info

接到用户反馈Mcafee报告usbcleaner在线更新组件update.exe为病毒，经确认此问题确实存在。

以下三款软件都是mcafee的引擎

此文件经过kaspersky以及国内的瑞星，江民，金山毒霸等多款杀毒软件检测没有任何问题。

现已将此文件提交给mcafee病毒分析部门，等待其解决这一误报。

BoyFine Worm-Script.VBS.Autorun.bc

综述：病毒作者自己取的病毒名叫boyfine,Worm-Script.VBS.Autorun.bc采用瑞星的命名方式。这是一个通过U盘传播的VBS蠕虫病毒，VBS脚本作了加密处理，运行后系统就被改的面目全非了，多个可执行文件关联被定向到病毒副本，病毒副本执行自身后通过传过来的相应的参数再来调用正常的程序，表面上看没有什么现象其实病毒一直在执行。通用调用WMI，对进程进行监测如果含有下列进程时 'cmd.exe', 'cmd.com', 'regedit.exe', 'regedit.scr','regedit.pif', 'regedit.com','taskmgr.exe' , 'msconfig.exe立即调用KillProcess函数将其终止。病毒副本主体名称会根据系统盘的序列号生成一个10位数的随机名称。在各盘根目录创建Autorun.inf与VBS病毒副本，另外根据根目录文件夹名创建相应的lnk文件，同时隐藏正常的文件夹，由于病毒会删除lnkfile的isShortCut属性，所以这些lnk文件不会显示快捷方式所有的小箭头标志，以便更好的伪装自己。

此外病毒还会有弹出光驱等恶作剧行为。

具体分析：（X：为各盘盘符，以Windows Xp Sp3 系统盘C盘为例）

建立档案L

软件名称：USB设备智能卸载工具-USBEjector

版本：V1.0

支持语言：简体/繁体中文

平台：Windows NT/2000/XP/Vista

本工具可完全替代Windows系统自带USB设备卸载工具，可能由于种种原因，系统自带的USB设备卸载图标会不显示，影响了正常的移动盘的使用，而经常直接插拔USB设备导致移动盘的损坏。另外由于未正常关闭移动盘内的文件导致移动盘被锁定，系统自带的卸载工具就会无能为力，而USBEjector可以帮助您解决这一问题，它不仅会智能查询锁定移动盘的症结所在，还可一键搞定所有被锁文件。

USBEjector这绿色的USB符号托盘图标

SHObjectProperties是位于shell.dll中的一个未公开的API函数，用以调取文件或者目录属性对话框。其函数原型是：

BOOL SHObjectProperties(      
    HWND hwnd,
    DWORD shopObjectType,
    PCWSTR pszObjectName,
    PCWSTR pszPropertyPage
);

在VB6中这样声明：

Declare Function SHObjectProperties Lib 'Shell32' Alias '#178' (ByVal hOwner As Long, ByVal uFlags As Long, ByVal sName As String, ByVal sParam As String) As Long

这其中hOwner是对话框所属窗体句柄，按照MSDN解释此项可为空值

uFlags为标记类型，根据MSDN它有三个值

SHOP_PRINTERNAME

pszObjectName contains the friendly name of a printer. 这里用于打印机，在VB中常量为1

SHOP_FILEPATH

pszObjectName contains a fully qualified fil

注：此功能只用于修复被Sola感染的Word文档，不查杀病毒主程序（查杀主程序请使用usbcleaner)

1.运行FolderCure主程序，点击Sola病毒修复 打开修复界面

FolderCure下载 http://www.usbcleaner.info/analyse.htm http://www.usbcleaner.net/analyse.htm

2.点击设置 对该修复工具进行相关设置

忆当年

青青石板街

滴水巷子檐

伊人回眸一笑

把酒醉红颜

怎奈何缘浅

刹那间

芳华已逝去

红颜老于弹指间

回首蹉跎岁月

蓦然情以远

英雄长眠于硝烟

在轮回里面

不愿闭上双眼

深深记住你的容颜



这一段情缘刻在三生石上

来世与你共缠绵

今生把酒来祭奠



在轮回里面
不愿闭上双眼
深深记住你的容颜

歌手：李维 专辑：风与叶子

很抱歉，由于个人原因，此次更新相隔了4个多月，给大家带来了不便，还请见谅。20090616更新内容比较多，请大家注意更新哦，如果有新的不能查杀的U盘病毒样本，可在线提交，地址：http://bbs.usbcleaner.cn/upvir/ 请不要上传无关的内容哦。

另外诚征一位网页设计方面的高手，会HtmL或者PHP语言，前者主要是改版官方网站的内容，后者主要是完善下病毒上报页面，有意向的朋友可联系我