瑞星卡卡安全论坛

朋友的u盘在我的机子上用了一下，结果中招了，但是用瑞星查杀，竟然认不出来？举报可疑文件也不成功。下面把样本和截图贴上，版主一定看看！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS)

附件: SREngLOG.log

要病毒样本
日志我随后看下

先上传样本
没样本分析，瑞星能查杀么？

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm    的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\xp-55e8ef1d.exe
C:\WINDOWS\system32\XP-55E~1.EXE
c:\documents and settings\lyp\「开始」菜单\程序\启动\　　　.lnk

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[XP-55E8EF1D]    <C:\WINDOWS\system32\XP-55E8EF1D.EXE>

    启动项目 －－　启动文件夹之如下项删除：
[　　　]    <C:\Documents and Settings\lyp\「开始」菜单\程序\启动\　　　.lnk>

样本太大，竟然上传失败，再来。

附件: XP-55E8EF1D.part1.rar

附件: XP-55E8EF1D.part2.rar

附件: 可疑文件样本.part1.rar

附件: 可疑文件样本.part2.rar

附件: 可疑文件样本.part3.rar

附件: 可疑文件样本.part4.rar

附件: 可疑文件样本.part5.rar

附件: 可疑文件样本.part6.rar

附件: 可疑文件样本.part7.rar

样本已上报瑞星分析。

现在朋友的u盘已经拿走了，可是我的u盘也中毒了。现在我把这个病毒的表现描述一下：
1：似乎只感染系统和u盘，其他硬盘未见感染。
2：sreng提示注册表AppInit_DLLs键值异常（默认为空），被改为Kmon.DLL，而且不能修改。
3：最主要的，u盘上的所有文件夹（文件未见异常）均被改为隐藏，同时增加与文件夹同名的.EXE文件（大小都是1.43M），这样如果没有显示隐藏文件及扩展名，当打开文件夹时，其实是运行了病毒文件。

其实我的系统有备份的，实在不行我可以恢复的，不过我想暂时保留一下，看看有什么进展。

针对楼主  2：sreng提示注册表AppInit_DLLs键值异常（默认为空），被改为Kmon.DLL，而且不能修改。请问楼主安装了卡卡6了么？卡卡6会改AppInit_DLLs值为kmon.DLL，如果没有，请重新扫描日志发帖。

文件夹类病毒吧，先试试专杀

附件: kill_folder.rar

楼主是不是济南的我客户也同样问题。原文件夹被隐藏，生成同名文件夹，但文件夹是exe后缀。我们快疯了。。。。
传播的很快，还能感染加密文件夹。
好像卡巴斯基最新的能查出这个病毒。提示直接删掉。
我反应了好久瑞星天天升级还是查不出这个病毒。
只有论坛回复解决方法，但没太都这样弄也太费时间了还不如ghost系统。

病毒样本呢？
附件

附件: 文件夹图标病毒专杀工具.zip

这些的确是风险程序！不过瑞星应该能检测出来吧！

该用户帖子内容已被屏蔽

楼主啊！
中的毒和我一模一样！

我的瑞星也没有查出来

如果没有杀毒软件，不恢复操作，还有其他解决方法么？

反病毒区求助

我又来了
期待版主给瑞星反映下，病毒库该升级了吧？
卡巴斯基9.0查出来了直接删掉

好了，最新的瑞星已经能认出来了。

我去试试

恩不错  有效果:default1: :default9: