一、病毒介绍

FakeFolder蠕虫病毒属于文件夹病毒，会通过修改电脑配置隐藏用户文件，同时该病毒内置了判断程序会在固定时间删除用户电脑除C盘外的数据。

1.1病毒主要行为

将自己拷贝到 C:\\windows\\tsay.exe、C:\\windows\\ttry.exe，

创建启动项， SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\[msfsa]

定时器不断修改注册表，修改为不显示隐藏文件，不显示文件后缀SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\HideFileExt

遍历磁盘(排除系统盘)，将磁盘原有的目录隐藏，生成目录同名的蠕虫exe副本，跳过目录 'vod_cache_data'、'System Volume Information'、'$RECYCLE.BIN'、'RECYCLER'。

潜伏发作，每隔20秒检测一次时间，当年大于2009年，月大于3月，日期为1号，10号，21号，29号遍历删除磁盘文件。

并在清空的磁盘根目录创建名为incaseformat.log的空文件。

Q:“破坏功能为什么今天2021-1-13发作？”

A：病毒中Sysutils::Now()获取系统当前时间判断发作条件，输入今天时间调试发现返回的是2020/4/1，因此满足发作条件对磁盘文件进行了删除。

故文件恢复概率极低，但建议中毒用户恢复注册表进行尝试！

自动查杀：

下载360终端安全管理系统进行查杀即可。

手动查杀：

1、结束进程 tsay.exe ttry.exe

2、删除病毒文件：C:\\windows\\tsay.exe C:\\windows\\ttry.exe

3、删除病毒产生的其他文件磁盘根目录 incaseformat.log

4、恢复系统设置：“文件夹选项”->“隐藏已知文件类型的扩展名” 去掉选项。 “文件夹选项”->“显示隐藏的文件、文件夹和驱动” 选中

附件注册表1和注册表2执行，进行注册表修复，点击注册表运行即可。

点击是。

因系统版本原因可能有执行不成功的电脑需要手动恢复或重装系统。

手动恢复方法：

左下角系统程序搜索框内搜索注册表编辑器后打开，打开后进入路径进行点击查看。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

到达这里后查看如图的三个注册表显示内容，检查三个表中CheckedValue和DefaultValue的值是否与图中一致，如不一致双击即可修改或者说缺少其中一项则进行增加。

HIDDEN\NOHIDDEN标准值2 2

HIDDEN\SHOWALL标准值1 2

\HIEDERFILEEXT标准值1 1