瑞星卡卡安全论坛

每个逻辑盘根目录下都生成一文件名为 .exe的文件，删了过两秒还会自动出现，怀疑是U盘病毒，瑞星杀不掉，郁闷……请高手指点，谢谢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)
如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

先谢谢了，染毒机器是单位的，而且没连互联网，明天值班时按照说明扫描，后天值完班回家后将日志传上来请专家鉴定。再次致谢！:kaka1:

致aaccbbdd：1、清理助手下载使用后，清理出4个木马已清除，也生成了日志，如果有时间请看看；2、sreng.exe运行后无反应 ，改名为BAT或SCR均无反应；3、金山清理后，无异常反应，可能已经被清理助手清理了，也生成了日志，请查收。最后再次致谢！！

附件: windows清理助手Result.txt

附件: 金山清理专家Report.txt

你去试试我置顶工具贴里那个后台扫描的SRENG工具，进行后台扫描试试

每次在U盘内出现的.exe文件能发个来才好

还有这俩文件不知道在不在了

c:\windows\BOOT-hf.exe
C:\WINDOWS\svchost.exe

C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
这个很奇怪，正常的svchost应该在C:\WINDOWS\SYSTEM32下，而且这个是suchost，不是v

C:\WINDOWS\svchost.exe
c:\windows\BOOT-hf.exe
金山清理专家-安全百宝箱-文件粉碎器粉碎
或附件删除

金山清理专家-在线系统诊断
隐藏安全项
清除：
      [boot-hf]            <c:\windows\BOOT-hf.exe>

    [TrkNetsSvcs] [已启用]        <C:\WINDOWS\svchost.exe -netsvcs>


如还不行
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
大蜘蛛杀毒试试

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

附件: c-_j_-x-_j.rar

在网上查了，这个suchost.exe的关键行为：

向系统目录创建exe sys
安装驱动
向各盘根目录创建exe
进行映像劫持
跟楼主说的有点像啊！

原文链接：http://www.pcstu.com/safe/anquanzixun/20081206/64009.html

谢谢包括aaccbbdd在内的诸位热心人，明天去单位试试，整好后标注“已解决”。再次致谢！

病毒文件附件上传，exe已改为rar

附件: 　　　.rar

下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe


瑞星升级至最新版本已可以杀