瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 最近电脑中了一个很严重的病毒。怎么也杀不掉啊！过来请教各位大虾啊

tengjiantao - 2008-11-27 23:48:00

最近中了一个很强悍的病毒，我用最新升级过的瑞星都杀不掉，而且每隔一段时间瑞星就报告说有病毒，可是每次都没有杀掉。
我收集的该病毒的信息如下：
1：可疑文件如下：
1）开始菜单的“启动”文件夹里多了一个快捷方式：名字是“9CE3FB”，我看属性了，它指向了C盘下一个隐藏的文件夹92B099下的一个名为9EC3FB的EXE文件；
2）我看了瑞星的历史记录，里面的记载如下：
“病毒名称：trojan。win32.undef。swi”
处理结果“删除成功”
访问染毒文件的进程“C:\WINDOWS\SYSTEM32\92B099\9CE3FB.EXE”
文件：“

C:\WINDOWS\system32\92B099\3fb92.exe>>pe_patch(23)

”

2：症状：
1）刚才开机，突然停在了开机画面，我强制按下电源键才关机了；但是我第二次开机就正常了。
2-关机也不能正常关了，
3=刚开始染毒的时候我的maxthon会自动访问某个页面，后来就没有这种症状了，网页的地址没记住。

我上网查了一下，貌似这个是undef病毒的变种，但是我没找到专杀工具。求求各位大虾，告诉我杀毒方法，或者告诉我杀毒软件的地址。
请详细说一下吧，我是菜鸟。真的谢谢啦！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; .NET CLR 2.0.50727; InfoPath.2; MAXTHON 2.0)

附件: SREngLOG.log

天月来了 - 2008-11-28 9:42:00

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
不要随意开多贴求助，随意开多贴求助，将被删除多余求助贴。

天月来了 - 2008-11-28 10:53:00

用解压工具WinRAR依路径打开找下面这个文件，压缩发来看
C:\WINDOWS\System32\appmgmts.dll
——————————————————————————————————
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

删除：
C:\Documents and Settings\Teng Loyd\「开始」菜单\程序\启动\9CE3FB.lnk
C:\DOCUME~1\TENGLO~1\桌面\1.txt
C:\WINDOWS\system32\92B099\9CE3FB.EXE

不论删除结果如何立即重启电脑，继续下面操作。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<9CE3FB><; C:\WINDOWS\system32\92B099\9CE3FB.EXE> []
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

杀毒软件如果有异常，可能需要卸载重装，升级至最新版本全盘杀。

记得打打系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

tengjiantao - 2008-11-28 11:03:00

用解压工具WinRAR依路径打开找下面这个文件，压缩发来看
C:\WINDOWS\System32\appmgmts.dll
----------------------------------------------------------------------------这个文件找不到，我是用winrar找的，没有这个文件。

天月来了 - 2008-11-28 11:12:00

找不到不管了，继续其他的操作

tengjiantao - 2008-12-5 15:12:00

版主赶紧再看看吧，z
这次貌似和上次的问题差不多。
不过多了一个现象，就是我的遨游浏览器总是自动打开一些游戏的注册网址。烦死了。
另外，貌似我刚买的三星i900手机在跟电脑连接过之后也中毒了。
版主帮忙看看吧！！谢谢啦谢谢啦！！

附件: SREngLOG.log

天月来了 - 2008-12-5 16:25:00

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

删除：
C:\WINDOWS\system32\92B099\9CE3FB.EXE
C:\WINDOWS\system32\92B099\C6BC.EXE
C:\WINDOWS\system32\92B099\krnln.fnr
C:\WINDOWS\system32\92B099\com.run
C:\WINDOWS\system32\92B099\shell.fne
C:\WINDOWS\system32\92B099\dp1.fne
C:\WINDOWS\system32\92B099\eAPI.fne
C:\WINDOWS\system32\92B099\internet.fne
C:\WINDOWS\system32\92B099\RegEx.fnr
C:\WINDOWS\system32\92B099\spec.fne
C:\WINDOWS\system32\92B099\krnln.fnr
C:\WINDOWS\system32\92B099\dp1.fne

不论删除结果如何立即重启电脑，继续下面操作。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<9CE3FB><C:\WINDOWS\system32\92B099\9CE3FB.EXE> []

这次你必须做件事，在系统内的病毒处理完以后。

将刚买的三星i900手机在跟电脑连接，必须注意插入连接前，必须先按住“Shift”键不放，然后插入电脑，等系统硬件检测完毕，才可以松开此键，再用WinRAR打开那个三星i900手机的移动磁盘。

看看那盘里的文件或文件夹的异常，不明文件压缩发来

尤其是里面可能有模仿文件夹的带.exe扩展名的文件，复制发来。

然后去删除那些不明文件即可。

并尽量将
C:\WINDOWS\system32\92B099\9CE3FB.EXE
C:\WINDOWS\system32\92B099\C6BC.EXE

这两文件复制发来

tengjiantao - 2008-12-6 17:56:00

斑竹您好，首先非常感谢您耐心的帮助！！
我刚才又按照您所说的步骤操作了一下，但是发现如下现象：

我将“文件夹选项”修改为“显示隐藏的文件夹”，发现被删除的文件夹“92B099”任然存在，只不过变成了隐藏的属性。所以我担心虽然用费尔删除了该文件夹及其内容，但是里面的文件会不会仍然存在呢？

aaccbbdd - 2008-12-6 18:00:00

新日志看看么

这个是个文件夹图标病毒
描述：此类病毒会将真正的文件夹隐藏起来，并生成一个与文件夹同名的EXE文件，并使用文件夹的图标，使用户无法分辨，从而频繁感染，一些用户的文件夹被隐藏影响正常的工作与学习

tengjiantao - 2008-12-6 18:41:00

您好，我刚才重启电脑了，现在把两个附件上传上来。
其中一个是病毒，
另外一个是我的手机里面的不知道是不是安全的文件。

非常感谢您的帮助！！！

tengjiantao - 2008-12-6 18:45:00

对啊对啊，我们学校的打印室里面非常多的这种病毒，我的优盘里很多文件夹就是变成了一个扩展名为“exe”的文件，图标还是文件夹的图标。果然是优盘给我的电脑感染了！！
不知道瑞星有没有专杀工具啊？？

tengjiantao - 2008-12-6 18:47:00

我上传的第一个文件是病毒所在文件夹的压缩文件，解压后是一个文件夹，里面有病毒啊，所以请大家谨慎操作！！！

附件: 92B099.rar

附件: 081205.rar

aaccbbdd - 2008-12-6 19:03:00

http://www.usbcleaner.cn/analyse.htm
文件夹图标病毒专杀工具

aaccbbdd - 2008-12-6 19:03:00

请发到可疑文件交流区

tengjiantao - 2008-12-6 19:42:00

呵呵，我的那两个文件是给斑竹看的……他让我传上来看看。

aaccbbdd - 2008-12-6 19:44:00

看什么么
发到可疑文件交流区让瑞星工程师分析才是正道:default3:

也不知道死天月要这个干什么

tengjiantao - 2008-12-6 19:46:00

我的遨游浏览器总是自动打开一些游戏的注册网址,而且还有什么视频交友网站啊，总是自动打开。麻烦版主帮忙分析一下呀~~系统扫描文件还是那个。因为问题早就出现了，一直拖到现在才发帖求助……

aaccbbdd - 2008-12-6 19:51:00

新日志发上来看看

tengjiantao - 2008-12-6 19:53:00

啊，我刚才用你说的专杀工具杀毒，结果那些隐藏的病毒文件夹全部变成了可见的，但是根本没有杀掉病毒啊？！

tengjiantao - 2008-12-6 19:54:00

瑞星的工程师的能量有多少？对此表示怀疑……:default11:

aaccbbdd - 2008-12-6 19:55:00

所以让你上传最新日志

至于病毒文件
要发到可疑文件交流区
让工程师分析，加库

backway - 2008-12-6 19:57:00

病毒创建的同名文件夹是显示的，正常文件夹是隐藏的，usbcleare（ms写错了）查杀后可以回复正常文件夹。

tengjiantao - 2008-12-6 19:58:00

你是说直接把扫描的日志上传到可疑文件分析区么？？

tengjiantao - 2008-12-6 19:59:00

说别的没用，直接说怎么杀毒是正道……

backway - 2008-12-6 20:00:00

用usbcleare可以查杀。我试过的。

tengjiantao - 2008-12-6 20:04:00

我按照天月的方法，把病毒文件变成了隐藏的。
然后用那个usbusbcleare把病毒文件变成了可见的。
但是病毒还在啊！！没杀掉啊

aaccbbdd - 2008-12-6 20:05:00

病毒文件发到可疑文件交流区

SRENG日志发上来
我分析

aaccbbdd - 2008-12-6 20:06:00

瑞星拥有我国最大规模的病毒分析工程师团队

tengjiantao - 2008-12-6 20:07:00

:kaka6: 您给我的这个网址不会有问题吧？（当然我没有别的意思）
为什么我打开这个网址就跳出来了一个视频聊天的选项卡呢？
我用的是傲游……

backway - 2008-12-6 20:08:00

:default21: :default21: 啥时又叫你把病毒文件隐藏了:
你上传的那2个文件，用多引擎扫描，都不报毒，包括瑞星。

查看完整版本: 最近电脑中了一个很严重的病毒。怎么也杀不掉啊！过来请教各位大虾啊