最近这个病毒在我学校里泛滥 bbs.ikaka.com

billmorgen - 2008-7-7 21:39:00

最近这个病毒在我学校里泛滥，现在看来倒是没有大的破坏，但是瑞星和卡巴都杀不了。
表现为在windows、system32目录下建立病毒文件。为“xp-”打头，后面是一些字母数字。在u盘里建立recycled.exe的文件，并且添加自动执行，还有把u盘里的文件夹属性改成隐藏，建立和文件夹同名的病毒文件。附件就是病毒，这个病毒文件的图标是文件夹，别点错了。请高手编个专杀。

附件: 病毒.part1.rar

附件: 病毒.part2.rar

zg1_2004 - 2008-7-7 21:48:00

该用户帖子内容已被屏蔽

超级游戏迷 - 2008-7-7 21:50:00

请把病毒样本的附件发到“可疑文件交流区”……

baohe - 2008-7-7 22:19:00

引用:

原帖由 billmorgen 于 2008-7-7 21:39:00 发表
最近这个病毒在我学校里泛滥，现在看来倒是没有大的破坏，但是瑞星和卡巴都杀不了。
表现为在windows、system32目录下建立病毒文件。为“xp-”打头，后面是一些字母数字。在u盘里建立recycled.exe的文件，并且添加自动执行，还有把u盘里的文件夹属性改成隐藏，建立和文件夹同名的病毒文件。附件就是病毒，这个病毒文件的图标是文件夹，别点错了。请高手编个专杀。

1、结束病毒进程XP-D41D8CD9.exe（路径：C:\WINDOWS\system32\XP-D41D8CD9.exe。可能是随机文件名。但IceSword进程列表中可以辨认出其特征-----文件夹图标）。
2、删除其启动项（图1）

3、删除病毒文件（图2）

注：C:\WINDOWS\inf\syssetup.PNF-----这个病毒文件须用IceSword强制删除。

billmorgen - 2008-7-7 22:25:00

谢谢几位高手

tdd - 2008-7-15 23:21:00

我也深受此病毒之害，照二楼的高手去做了，第一第二步都成功，可是您的第三步中，有很多文件在我这里找不到。比如那个xp-d41d8cd9.exe，ul.dll，都没有，不知道这样怎么办？

aaccbbdd - 2008-7-15 23:26:00

用冰刃（icesword)

冰刃能找到文件并删除

tdd - 2008-7-15 23:38:00

谢谢7楼。我还有个问题，自从中了这个病毒，说没有什么破坏也不准确。因为我现在开电脑的时候经常会出声音报错，完全黑屏的，没法正常启动。基本要开几次才能启动。不知是否与这个病毒有关。今天还发现浏览器总出错，而且打开页面的速度超慢，总觉得和这个有关

aaccbbdd - 2008-7-15 23:42:00

是
感染病毒后系统不稳定了
建议备份重要文件，重装系统（真心话）

tdd - 2008-7-15 23:47:00

谢了……我也是这么想的其实。只不过觉得很麻烦一直不想重装，所以来看看有没有什么解决的办法。还有个问题就是，要备份文件的话，又要用连上移动硬盘，这样一来又有感染的危险了。请问是不是每次开机的时候把它的启动项目和进程删了，然后连移动硬盘，它就不会传染到移动硬盘上了？

aaccbbdd - 2008-7-15 23:54:00

不行！！
病毒可能会是多进程相互保护的
或进程重启
或注册表和文件回写

最好彻底杀毒
或吧C盘文件倒到其他磁盘
重装系统（格式化C盘）后看看除C盘外（在资源管理器里查看，不能双击分区或右键打开）
别的分区下是否有Autorun.inf和打开Autorun.inf后，Autorun.inf里Open=*

如有，先咔嚓inf和*文件

tdd - 2008-7-16 0:07:00

我已经全面杀毒了好几次了，根本就检测不出来那个病毒。看来移动硬盘是不可以了。那把我需要备份的文件刻盘的话再格机器，就应该没问题了吧？

aaccbbdd - 2008-7-16 9:20:00

先试试安博士，金山的在线查毒（百度安全中心最好）
没问题
就
可以的

火龙翔天2 - 2008-10-5 12:50:00

:default10:

瑞星卡卡安全论坛