不知道是不是磁碟机的变种？ bbs.ikaka.com

perkyleo - 2008-10-20 0:39:00

绝大部分EXE文件都无法运行
只要运行就自动重新启动
安全模式就蓝屏
所有JPG文件都变成了一堆空格后加.EXE文件，变成可63.5K的可执行程序了
例如：
1.jpg 变成
1.jpg .exe （中间有N个空格，还是JPG的图标）

运用了网能找到所有的磁碟机专杀工具，还包括N种杀毒软件都无法完全清除
最要命的是JPG文件无法恢复。。。。。

重装系统也无效

痛苦中。。。。

附件是个被感染的JPG文件

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; MAXTHON 2.0)

附件: Nedved.jpg .rar

GPS - 2008-10-20 10:39:00

楼主还是扫个日志发上来吧
使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

perkyleo - 2008-10-20 11:20:00

附件为日志

附件: SREngLOG.log

GPS - 2008-10-20 11:51:00

日志中没什么~~
不过你发来的那个JPG的文件应当是被病毒已经删掉了,或是隐藏了~~你可以打开隐藏属性后再看一下,如果还有你的正常文件,那就是被删掉了.这个文件好像是加过壳的了~

超级游戏迷 - 2008-10-20 12:28:00

日志异常内容如下:

引用:

注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xpserverdll]
<WinlogonNotify: xpserverdll><xpserver.dll> []

驱动程序
[000d59e8 / 000d59e8][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\000d59e8.sys><N/A>

正在运行的进程
C:\WINDOWS\system32\xpserver.dll

图已经完蛋了（被病毒删除或覆盖了），那些EXE文件都是病毒伪装的，只能删除。

为你的图默哀一下……

perkyleo - 2008-10-20 12:46:00

如果文件无法挽回也罢，绝大部分我还有备份，就是可惜了部分图片。。。。
有的是搜集了很久的资料
存为JPG以为更保险，这下JPG文件变成高危了。。。。。
唉，一声叹息

关键是这个病毒如何清除。。。。
各位老大有没有好的方法。。。。

超级游戏迷 - 2008-10-20 12:56:00

引用:

原帖由 perkyleo 于 2008-10-20 12:46:00 发表
如果文件无法挽回也罢，绝大部分我还有备份，就是可惜了部分图片。。。。
有的是搜集了很久的资料
存为JPG以为更保险，这下JPG文件变成高危了。。。。。
唉，一声叹息

关键是这个病毒如何清除。。。。
各位老大有没有好的方法。。。。

推荐用XDELBOX软件的“导入剪贴板不检查路径”命令配合“立即重启执行删除”，一次性强行删除以下文件：
C:\WINDOWS\system32\xpserver.dll
C:\WINDOWS\system32\Drivers\000d59e8.sys

病毒文件被重启删除并重新登录系统后，进入注册表编辑器，删除如下注册表子项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xpserverdll]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\000d59e8]

最后，把所有扩展名为.jpg.exe的文件全部删除。

鉴于可能有部分可执行文件被病毒感染，部分病毒文件不在SRENG日志中反映，建议将原本正常但中毒后无法打开的一个EXE文件（不是你所说的原图片文件，原来就是个可执行文件）提交“可疑文件交流区”分析。

太阳神车 - 2008-10-20 12:56:00

此问题已经上报,请您等待回复.感谢您的支持

perkyleo - 2008-10-20 13:39:00

只有等着高人救命了
我实在不想删除这些JPG的存档
能救回来最好

否则我早把硬盘重新分区重装了
免得有后顾之忧

perkyleo - 2008-10-20 15:35:00

自己顶一下
等高人解决

yull24 - 2008-10-20 23:32:00

我今天中午也中了同样的病毒，所有照片打不开了，变成63.5KB，直接运行电脑就会重启。我好几百张照片全都不能挽回了吗？望高人帮忙啊。

yull24 - 2008-10-21 0:01:00

我找到了，我中的病毒，高手帮我啊。我发上来，帮我看看。我的情况和楼主一模一样。帮我救救我的照片。

附件: 专用播放器.rar

perkyleo - 2008-10-21 11:16:00

继续顶上来
等

yull24 - 2008-10-21 12:01:00

等高手帮忙啊，顶起来！

perkyleo - 2008-10-21 17:00:00

继续顶上来

超级游戏迷 - 2008-10-21 17:21:00

引用:

原帖由 太阳神车 于 2008-10-20 12:56:00 发表
此问题已经上报,请您等待回复.感谢您的支持

以上瑞星在线工程师已经回复，建议等待答复或与之联系获得进展情况，请勿再空顶此帖……:default2:

jointrap - 2008-10-21 21:18:00

刚刚用NOD32扫了一下，扫出来的是
Win32/TrojanDownloader.Agent.OIY 特洛伊木马变种

附上扫描日志。

附件: NOD32扫描日志.txt

kekao - 2008-10-21 22:28:00

C:\windows\system32\com\lsass.exe
C:\windows\system32\com\smss.exe有没有这两个.看日志不像磁碟机.你的boot.ini能否打开.

yull24 - 2008-10-23 12:15:00

我用easyrecovery软件恢复了一下,用高级恢复(用时较少),多数照片找回来后不能打开,用原始恢复(用时较长),多数照片可以打开,正常显示了.我看也只有这个方法找回被病毒损坏的照片了.天空软件有下载.希望对和我一样不幸的人有帮助.

瑞星卡卡安全论坛