1、新建文件夹病毒
    在很久很久以前（上周），因为单位给统一洗火炬传递的照片，所以各种读卡器、U盘汇集到狮妹滴电脑这来了，于是呼.....当所有的照片都整理完成以后，发现桌面有个“新建文件夹”当时并未在意，删除后，第二天开机又出现了。再次删除.......然后就到了星期五啦，单位要做内刊，狮妹我忙了一整天把内刊的稿件都处理完，存在了D盘中的一个文档下，很正常滴关电脑走银，等到今天报送的审批再次打开电脑...........那天的文件夹已经赫然滴变成了“新建文件夹”而且里面内容全无。
     当时屋内无空调，但狮妹巨寒了。
     在网上下载的各种文件恢复软件均告失败，恢复出来的word文档也均都为乱码。
     无奈时间紧任务重，指不里键的做了一份。
    更让人无奈的是，我本以为下的专杀软件把这该死的病毒给杀没了吧，结果下午14时44分“新建文件夹”再次如鬼魅般的出现在了桌面上，我真是欲哭不泪了。
    不知道大家有没有遭遇到，或是有解决滴办法。
   （在不重格电脑硬盘的情况下）

电脑中唯一的  江民江杀（单位做的网络版）和360安全卫士还在互相的打架

工具啥的都升级，停掉网络，安全模式，杀

还真没见过这种情况  找火柴吧  关注ing

你的文件夹都变成文件夹模样的EXE文件了吧？
（如果不是，下面的就不用看了，还是提供进程名上来吧，方便查找原因）

1，病毒会隐藏你原来的所有文件夹,并且把文件夹设置成系统属性,然后生成病毒文件,病毒的图标就是文件夹图标.所以了不太懂有关方面知识的朋友都不敢去删除它.

2，显示隐藏文件.不过这个选项估计也可能被隐藏了.
一般情况下使用注册表解决，不过麻烦，你也可以用批处理来实现，将下面的内容写入记事本另存为文件名为abc.bat
@echo off
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f
pause
打开就可以看了隐藏文件了

3，开始--运行--gpedit.msc--用户配置--管理模板--系统--关闭自动播放--启用--关闭所有驱动器--确定。重新启动电脑,关闭自动播放的功能将奏效!

4，打开任务管理器,把"用户名"(分为:当前用户\system\local service\network service)下的当前用户进程除了explorer.exe\ctfmon.exe\iexplore.exe,其他都结束掉

5，开始--运行--regedit--HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
将右边的CheckedValue数值改为1,如果CheckedValue的图标是红色的,那就删除它,新建DWORD值,改名为CheckedValue,数值为1
HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hiddenfileext
将UncheckedValue的值改为0,如果改图标不是蓝色,同上操作，这步是强制显示隐藏文件。

6，开始--运行--msconfig--启动
将除了ctfmon和杀毒软件项,其他都禁用,然后确定,选等会重新启动……

7.控制面版--文件夹选项--查看--显示受保护的操作系统文件和文件夹--是--显示所有文件和文件夹--显示文件后缀名--确定……

8，进入我的电脑，右击盘符,看有没有auto或两个“打开”,如果没有,就可以双击打开硬盘了

9，尽可能地删除所有文件夹模样的exe文件！

10，以前的文件夹可能都被病毒隐藏了,我们用下面方法来还原,
假如还原E:\电影:
开始--运行--cmd
attrib -s -h -r e:\电影
同样,假如还原c:\program files
attrib -s -h -r c:\program files
文件夹多的话,此操作确实有点累人


11，重启

可以先试试这样。
1、关闭江民
2、启动360的网络杀毒。
3、如果杀掉了，务必不要忘记启动360的U盘免疫功能。

如果进程中有个"systrsy.exe"进程.
杀毒方法:
1.重新启动计算机,开机按F8进入安全模式
2.开始---运行---输入msconfig--回车--查看"启动"标签,把"systrsy"的启动项的勾去掉---应用--"稍后启动计算机"
3.在"我的电脑"的地址栏输入"C:\Program Files\Internet Explorer",直接删除"systrsy.exe"
4.开始---搜索---搜索文件夹和文件--搜索所有硬盘中的"新建文件夹.exe"并且全部删除
5.重启计算机
6.记得把中毒的优盘格式化一下.或者删除里面的"新建文件夹.exe"文件.

如果进程中有一个Expl0rer.exe（注意是0，不是o）

Expl0rer.exe病毒会修改系统日期为1988.11.30

Expl0rer.exe病毒连接网络利用InternetReadFile函数读取update.txt
但该链接已失效 猜想是为了更新病毒所用

Expl0rer.exe病毒运行后,衍生如下副本：
%systemroot%\EXPL0RER.EXE（注意中间是数字0）

遍历所有分区,把所有属性为非隐藏的文件夹隐藏,并生成一个与该文件夹名称相同的病毒文件,诱惑用户点击

在可移动存储中写入autorun.inf和EXPL0RER.EXE

Expl0rer.exe病毒破坏安全模式
删除SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
SYSTEM\CurrentControlSet\Control\SafeBoot\Network键

Expl0rer.exe病毒利用GetForegroundWindow,GetWindowTextA等函数获得窗口的标题并利用PostMessageA函数关闭带有某些指定字符的窗口,诸如
twomcc
wopt
360
…
并可关闭注册表编辑器和任务管理器…

Expl0rer.exe病毒利用GetComputerNameA获得机器名称,并利用qq.asp?i=机器名称 提交

Expl0rer.exe病毒修改很多系统关联项目,其中包括
HKLM\SOFTWARE\Classes\Directory\shell\explore\command\: “C:\WINDOWS\EXPL0RER.EXE %1″
HKLM\SOFTWARE\Classes\Directory\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1″（修改文件夹打开关联,也就是说即便你打开的是正常的文件夹,那么也会运行病毒文件！！很好很强大！！也很流氓！！）
HKLM\SOFTWARE\Classes\Drive\shell\explore\command\: “C:\WINDOWS\EXPL0RER.EXE %1″
HKLM\SOFTWARE\Classes\Drive\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1″（同样修改磁盘打开关联,病毒没有通过传统的auto方式启动,而是通过这种流氓方式,也就是说你每打开一次某个分区,便运行一次病毒！！！）
创建HKLM\SOFTWARE\Classes\exefile\NeverShowExt: “”（永久性隐藏exe文件的扩展名）

修改inf,ini,txt,vbs,chm,reg文件的文件关联
HKLM\SOFTWARE\Classes\VBSFile\Shell\Open\Command\: “C:\WINDOWS\EXPL0RER.EXE %1″
HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1″
HKLM\SOFTWARE\Classes\txtfile\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1″
HKLM\SOFTWARE\Classes\regfile\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1″
HKLM\SOFTWARE\Classes\inffile\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1″
HKLM\SOFTWARE\Classes\inifile\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1″

Expl0rer.exe病毒破坏显示隐藏文件
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0×00000003
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0×00000002

清除办法：

操作注意事项: 操作中不要打开任何文件夹,因为所有“文件夹”全已经是伪装的病毒了,也不要打开任何磁盘分区！
下载来的Icesword直接解压到桌面上 也不要解压到一个文件夹中

运行 Icesword.exe 进程 结束%systemroot%\EXPL0RER.EXE进程 （注意中间是数字0,而且图标为文件夹图标）

点击左下角文件按钮
进入Icesword的文件管理器
删除%systemroot%\EXPL0RER.EXE
还是注意 不要删错 该文件大小为21504字节

把下列文字复制到记事本中 并改名为1.bat 运行

reg delete “HKLM\SOFTWARE\Classes\Drive\shell\explore” /f
reg delete “HKLM\SOFTWARE\Classes\Drive\shell\open” /f
reg delete “HKLM\SOFTWARE\Classes\Directory\shell\explore” /f
reg delete “HKLM\SOFTWARE\Classes\Directory\shell\open” /f

一段类似dos的屏幕滚动过后就可以了

双击我的电脑,工具,文件夹选项,查看,单击选取”显示隐藏文件或文件夹” 并清除”隐藏受保护的操作系统文件（推荐）”前面的钩.在提示确定更改时,单击“是” 然后确定

点击菜单栏下方的搜索按钮
查找所有文件和文件夹

全部或部分文件名 *.exe

在这里查找：我的电脑

指定大小 至多为22K

并勾选搜索隐藏的文件和文件夹选项

搜索完毕后,会发现搜索到很多文件夹图标的exe文件 大小均为21k左右 全部删除之！！

恢复文件夹属性
可以用attrib －s -h /s /d 对应文件夹路径

以上处理办法供参考，因为涉及注册表操作，有一定的风险，请谨慎。

只能一点点试了，没看到机器还真不好说，反正U盘这东西最容易染毒，在单位我都看着他们不让他们随便用，一旦中毒很麻烦的……