瑞星卡卡安全论坛

已被感染的病毒文件激活后，会在C:\Program Files\Common Files\Microsoft Shared\Web Folders目录下生成MSOSVEXT.EXE隐藏文件和MSOSV.EXE文件，若干tempA.exe-tempH.exe以及DLL文件，在..\windows\下生成svchost.exe,还会生成一些其他木马病毒，木马svchost.exe进程启动后会启动几个IEXPLORER.exe进程，并开始感染硬盘内大部分exe可执行程序。手动清理完系统盘内木马病毒后，只要执行其他盘的一些exe文件，就会重新激活病毒，并且这些被感染的exe无法被杀毒软件清除，甚至更本无法检测到，只有执行了带毒程序发生一些系统更改动作的情况后才有反应。这些被感染的exe文件只有自己手动去删除或格式化硬盘才能解决。但是我不能删啊，都是有用的文件啊。。。。。

它还会创建如下注册表启动项
<clgt2xjmw><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
<7><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe> []
<l17t><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe> []
<kcl8eu><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<e2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe> []
<52scxkq><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe> []
<2q><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servera.exe> []

<cmdbcs><C:\WINDOWS\cmdbcs.exe>


谁需要样本找我！

csunlucky@qq.com

我看看

发样本到:314944969yxr@sina.com

楼上2位，我已经发了，谢谢
千万小心，解压密码123
保险一点的话在C:\Program Files\Common Files\Microsoft Shared\Web Folders那个目录创建一个文本文件，改名为MSOSVEXT.EXE，把它设置属性为只读，这样的话，你如果点到被感染的文件就不会打开了

这个不就是shualai.exe 猫猫写过这类毒的帖子

最主要是清毒后 怎样恢复那些被感染的EXE文件.

怎样恢复？？就是想知道这个答案。。。其他自己都能搞定- -
请赐教！

引用:

【勇闯猪罗纪的贴子】这个不就是shualai.exe 猫猫写过这类毒的帖子 最主要是清毒后 怎样恢复那些被感染的EXE文件. ………………

shualai 真的不感染文件

引用:

【zhongfang的贴子】已被感染的病毒文件激活后，会在C:\Program Files\Common Files\Microsoft Shared\Web Folders目录下生成MSOSVEXT.EXE隐藏文件和MSOSV.EXE文件，若干tempA.exe-tempH.exe以及DLL文件，在..\windows\下生成svchost.exe,还会生成一些其他木马病毒，木马svchost.exe进程启动后会启动几个IEXPLORER.exe进程，并开始感染硬盘内大部分exe可执行程序。手动清理完系统盘内木马病毒后，只要执行其他盘的一些exe文件，就会重新激活病毒，并且这些被感染的exe无法被杀毒软件清除，甚至更本无法检测到，只有执行了带毒程序发生一些系统更改动作的情况后才有反应。这些被感染的exe文件只有自己手动去删除或格式化硬盘才能解决。但是我不能删啊，都是有用的文件啊。。。。。 它还会创建如下注册表启动项 <clgt2xjmw><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> [] <7><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe> [] <l17t><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe> [] <kcl8eu><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> [] <e2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe> [] <52scxkq><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe> [] <2q><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servera.exe> [] <cmdbcs><C:\WINDOWS\cmdbcs.exe> 谁需要样本找我！ ………………

样本 发给我邮箱 newcenturymoon1986@yahoo.com.cn 加密123
或者加我QQ 463216947

我已经发给你了
会感染
而且我发现一个很有趣的事
就是那个被感染的文件， 我不做任何拒绝动作，让他激活，然后我自己关闭被激活的进程，清理病毒和注册表后，那个EXE文件居然能恢复正常了，好象病毒自动脱离了。

我要我要....

楼上我发给你了
我继续自杀式的清理被感染文件

让更多的人看下吧

没办法搞定,等牛人写专杀吧

shualai.exe
真是“耍赖”啊！

也发个给我吧，yjyj109@gmail.com
谢了！

这个病毒我也碰到了，以前也碰到过类似的，不过瑞星可以杀掉，但这次的毒瑞星查都查不出来（失望）．楼主说的自杀式清洗方法我也用过．不过这毒在清洗时会生成svchost.exe和启动IEXPLORER.exe进程，这时候会不会又开始感染exe文件了啊．如果是的话自杀式就没用了．被这个病毒感染的大部分文件会变成记事本图标的样子，原来有图标又被感染文件好象没有变．
希望牛人（也希望瑞星，别让我们失望）尽快解决它．如果有了解决方法请告诉我们一下，谢谢了．　顺便给高手们发个病毒的连接地址，研究研究．（小心呐）
http://lpokmnh.evolink.ro/link.php?ref=PtF1D1yFZX

引用:

【zhongfang的贴子】我已经发给你了 会感染 而且我发现一个很有趣的事 就是那个被感染的文件， 我不做任何拒绝动作，让他激活，然后我自己关闭被激活的进程，清理病毒和注册表后，那个EXE文件居然能恢复正常了，好象病毒自动脱离了。 ………………

我跟你想得一样，不过我比较菜无法用专业点的方法证明激活染毒exe文件，文件会恢复正常。
自杀式清理真的有效么？也没高人证明一下

szzlblm@126.com

这里也要...

把瑞星升级到19.21.02(4月30日)就可以杀了,支持瑞星了,哈哈

楼上的说的是真的吗，那被感染的exe文件可以被修复吗
希望更多的受害者知道

我升级了瑞星杀不了，已经向315投诉了，为了保留证据，本来可以用IBM自带的一键还原搞定的，看样子得先等等，投诉了瑞星再说。。。。。。以后不买所谓的正版了。。。。

一键还原也只是把c盘还原吧，其他盘的可执行文件一旦点击之后，病毒又会被激活了。这个帖子等了这么长时间了，难道现在还没有专杀的工具吗。

谢谢楼主..俺也要..
liang_8201@.163.com

我确实是用瑞星杀的(版本19.21.02---4月30日,可以直接清除的).
清除的病毒为Worm.DlOnlineGames.l    楼上的你在试试吧.我的系统里有瑞星卡卡的碎甲

清除后，exe能恢复吗还是直接被删掉了

可是我没见到点被感染的.exe会重新击活病毒吖...病毒在一开机的时候就会自动创建几个进程...然后就关掉...你用冰刃监视一下就能看到的...可能重新激活是没有把这些进程给杀了吧...但怎么搞也搞不好被感染的exe...惟有格了盘子再安装软件鸟