瑞星卡卡安全论坛

我搞了整整两天也没整死“它”。。。。。
看起来像是“落雪”又像是“橙色八月”，这个赖皮都愁死我了!!!
一切带“杀毒”或常见的杀毒软件名，比如含有“瑞星、金山、卡巴斯基、江民、超级巡警等......”字样的窗口都自动关闭，包括相应的英文名!主程序都打不开!

发现的问题：
1、进程里有“WDFMGR.EXE、SPOOLSV.EXE、WINLOGON.EXE、SMSS.EXE”这些都是大写的!

2、D盘、E盘根目录下两个明显的病毒文件“AutoRun.inf”内容指向的是同级目录下的一个文件名为“D6C36051.EXE”。(隐藏且只读，D/E盘右键菜单没有异常)
“AutoRun.inf”文件内容如下：
“［AutoRun］
  open=D6C36051.EXE
  shell\open=打开(&O)
  shell\open\Command=D6C36051.EXE
  shell\open\Default=1
  shell\explore=资源管理器(&X)
  shell\explore\Command=D6C36051.EXE”
明显这个文件在“打开”和“资源管理器”上做了手脚。。。。。。(我怒)

3、病毒修改了注册表，使隐藏文件无法显示。(手动修复，重启后又改回去了。。。无奈)

4、我有两台电脑都中了这个病毒，有一台重做系统后双击过D盘，又中招。。。。。(狠啊!我又重做了一次系统后先了杀毒，两个“AutoRun.inf”文件被干掉。。。。这台机器问题解决!!)

大家帮帮忙解决一下另一台机器，那台机器我不能重做系统，因为有个对我很重要的软件，重做系统注册文件就没了，就不能用了啊!!安装盘也弄不到了!
我用“落雪专杀”杀到了上边那两个病毒，杀完以后没有效果。。。两个文件又复活。。

在DOS下杀毒杀到一个名为“TrojanDownloader.Adload.lp”的病毒，将其杀死!重启后还是没有效果。。。。。。

现在来看唯一影响的只是打不开杀毒软件，还有就是会自动关闭含有“它”不喜欢的文字的窗口。这上网的电脑杀毒软件打不开怎么行啊。。。。现在我还不知道这病毒发作就这样，还是它在休息。。。。忽然哪天机器摊了怎么办啊。。。。。。。

进程抓了一张图给大家瞅瞅有没有问题!

。。。。。。。。。。。。各位高手们救救我吧。。。。。。。。。。。。。

附件: 882926200767173737.jpg

……
你列出那些进程名，通通是正常的。
处理方法参考http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html

我的也是这情况~~怒啊!这是啥病毒??用瑞星查不出来~但进程里有两个奇怪的进程,结束不掉,我的是单位的电脑,还有几台也是这样的情况,但其他几台电脑里的进程名字和我的不一样,也是这样的情况,而且,双击硬盘盘符后打开新的页面,最后没办法只好格式化所有分区,重新安装系统,只好了一台,其他的还是不行,仍然是楼上说的情况~~这是什么病毒啊?????在线等!

【回复“lfinfo”的帖子】
参考http://hi.baidu.com/newcenturysun/blog/item/db3da71be85d3e188618bf5a.html
这几天是这两种病毒的高发期呀，论坛上一版的人全中的一样的东东……

啊谢谢喽!我去看过你们给的参考了!问题解决了!!顶顶顶。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

我再顶~!!!!

我再再顶。。。。。。。。。。。。。

11

搞完了重启了一下机器，“它”又回来了。。。。。比以前更厉害了!!WinRAR都让它屏了，还有“冰刃”也没能逃脱。。。。。。。。。。。。。。。。。。。。。。。。

还有没有高手了!!!!

我机器里的病毒是不是也更新了啊？病毒也天天升级啊!!!晕死。。。。。。。。。。。。。。。。。。。。。。。。。。

可怜可怜我吧，给我点帮助吧!!我要崩溃了!!

WinRAR都让它屏了？？？？？？

呵呵！！！！！1

做毒的终于开始对WinRAR下手了。

呵呵！！！！！

还说风凉话呢。。。。。。。我都要哭了。。。。。

我哪是说风凉话哦

你既然已经处理过，自然是知道文件名和位置的咯

设法去DOS下删除吧。

或者找个不重要的电脑，先停了另一电脑的系统的自动播放，然后将这机磁盘挂过去，用正常电脑里的WinRAR打开，你这磁盘，删除你记得的那些病毒文件，不能遗漏，否则前功尽弃，还有在正常系统中，切记不能打开任何你这磁盘，或使用你这磁盘里的文件。

千万别错，否则那正常的再中，不冤我哦。

http://www.54master.com/bbs/thread-167983-1-1.html

参考下

尤其是得删除，所有八位数的那个D6C36051.EXE和各磁盘根目录下的


AutoRun.inf
D6C36051.EXE

还有你的那些移动存储设备，都的处理。

冰刃改名字也不能运行么？不会吧。。

问题是我没记住病毒都在哪。。。。而且现在还有新的毛病，机器速度超慢，2-5分钟蓝屏。。。。。
就是我知道病毒文件都在哪都没有机会去删!

挂在别的机器上道是个办法，不过。。。。。。。
同事们不会让的。。。。。。。。

16楼问的好，你问对了，改名都不行!!
改了名还能打开一闪，不改名根本就没有反应!!!

还有没有更好的提意了？

呵呵！！！！！！

那就学DOS吧。

估计花上个两三天，就能搞定了。

或者你悄悄话求baohe版主吧。

我会DOS谢谢。。。。。
会能怎么样啊？进DOS怎么做啊？

还是去先看清新阳光的那些处理方法。

然后记住病毒主程序所在的文件夹，然后去DOS下手工查找删除。

一并带着删除各磁盘根目录下的
那些文件。

再进正常系统，就能做点别的事了。

或者你重装系统吧。

重装系统肯定是不行了!
试清新阳光的方法也行不通啊，还没等做什么呢就蓝屏了@!!

安全模式
dos窗口->用attrib取消所有分区根目录下那两个文件的属性->删除文件->删除注册表里的相关启动进程->restart

他那里8位数和7位数的，你都借鉴一下嘛。

主要是要你记得病毒文件所在的位置。

然后去DOS下手工查找删除哦。

哪里是要你按照他那方法处理。

你中这个已经变种了，他那原来改名个工具，还能运行。现在你这个不行了，就只能用这些办法了。

在正常系统你看不了隐藏文件和系统文件，你不这样弄，还能怎样？

没的活了~~ 太变态了

你提醒我了，我可以在DOS下查找那个八位dll文件，反正八位随机文件名我知道!在那删就行了啊!哈哈，谢谢哦!!!

你是不是只有c盘能打开呢??

呵!你的病毒有点严重!不过试试这样!

先解染眉之急!
先用GHOST把有主要文件的盘给GHOST起来!

然后重装系统!注意那些细节~~保证重装后不再种招!
1关自动播放2使用Windows传统届面3没安全前决不接网络及使用以前别的盘的文件4xi显示系统及隐藏文件及它的扩展名5

可以参考一下我这的做法
http://forum.ikaka.com/topic.asp?board=28&artid=8320774

做好系统后~然后再用GHSOT explorer来在Windows下打开以前的镜像文件来提取想要的文件!

不知道这样有用么!