瑞星卡卡安全论坛

RECYCLER.exe

em Volume Information.exe
$RECYCLE.BIN.exe
Autorun.inf.exe

真是晕死，是别人的硬盘传染过来的。瑞星一点反应都没有，搞什么？

删了还有。按网上查进程根本没有，注册表里好像也搜不到。要怎么才能杀得掉呀

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

伪文件夹的EXE文件发到可疑文件交流区

专杀工具
http://www.usbcleaner.cn/analyse.htm

汗，杀完，文件夹多了一倍。还多出两个我的QQ空间，删还删不掉，说文件夹不存在。

Autorun.inf.exe文件压缩发一个来

这模仿文件夹的病毒变种极快

还有用解压工具WinRAR打开移动硬盘

然后抓全图来看

再扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

要下班了，明天弄了发过来。这个也太厉害了:default3:

你愿意快速的做一下么？

下班没时间了么？？

算了

我也回家了。

这是压缩后的空盘的资料

其中后面几个文件是杀毒后多出来的。在另外一个盘里有QQ的文件夹，也多了一个，只是里面东西太多不方便。

晕死，说文件太大传不过来。这是扫描后的结果

附件: SREngLOG.log

用解压工具WinRAR依路径打开找这文件，压缩发来看
C:\WINDOWS\system32\41612D\8B8097.EXE

包括U盘里的任意一个带.exe的文件夹类型的文件

来一个

我给你简单操作清理

C盘里的带不开那个文件，显示已被破坏。

那可能你使用什么杀毒软件杀了后破坏文件了

你试试用解压工具WinRAR打开U盘，查看里面情况怎样

1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\41612d\8b8097.exe
c:\docume~1\lenovo\locals~1\temp\e_n4\dp1.fne
c:\docume~1\lenovo\locals~1\temp\e_n4\eapi.fne
c:\docume~1\lenovo\locals~1\temp\e_n4\htmlview.fne
c:\docume~1\lenovo\locals~1\temp\e_n4\internet.fne
c:\docume~1\lenovo\locals~1\temp\e_n4\krnln.fnr
c:\docume~1\lenovo\locals~1\temp\e_n4\shell.fne

c:\windows\system32\ffigbwd1044.dll
c:\windows\system32\rabrab1007.dll
c:\windows\system32\fftqqtqq1008.dll
c:\windows\system32\jhrcar.dll
c:\windows\system32\drivers\3w6l57m.sys
c:\docume~1\lenovo\locals~1\temp\usbhcid.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{1DB3C525-5271-46F7-887A-D4E1ADAA7632}]    <>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <>
[8B8097]    <C:\WINDOWS\system32\41612D\8B8097.EXE>
[{145c5cc2-e916-4957-afc5-19fd2aacd3cc}]    <C:\WINDOWS\system32\ffIGBWD1044.dll>
[{5a67ddd5-b587-4ea7-b4de-508e1f1fb41d}]    <C:\WINDOWS\system32\RABRAB1007.dll>
[{9f91492f-65ee-43d5-962f-e199ff01cf43}]    <C:\WINDOWS\system32\ffTQQTQQ1008.dll>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]    <C:\WINDOWS\system32\jhrcar.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[3w6l57 / 3w6l57m]    <\SystemRoot\System32\DRIVERS\3w6l57m.sys>
[iCafe Manager / iCafe Manager]    <\??\C:\DOCUME~1\lenovo\LOCALS~1\Temp\usbhcid.sys>

下载windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.rar（升级后使用）

关闭IE用下面的工具全选，清理系统临时文件和IE临时文件夹     
http://www.atribune.org/public-beta/ATF-Cleaner.exe

算了

要你样本很困难了

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

删除：
C:\Documents and Settings\lenovo\「开始」菜单\程序\启动\8B8097.lnk C:\WINDOWS\system32\41612D\8B8097.EXE

不论删除结果如何立即重启电脑，继续下面操作。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <8B8097><C:\WINDOWS\system32\41612D\8B8097.EXE>  []
    <{145c5cc2-e916-4957-afc5-19fd2aacd3cc}><C:\WINDOWS\system32\ffIGBWD1044.dll>  [File is missing]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><>  [N/A]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><>  [N/A]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><>  [N/A]
    <{5a67ddd5-b587-4ea7-b4de-508e1f1fb41d}><C:\WINDOWS\system32\RABRAB1007.dll>  [File is missing]
    <{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><>  [N/A]
    <{9f91492f-65ee-43d5-962f-e199ff01cf43}><C:\WINDOWS\system32\ffTQQTQQ1008.dll>  [File is missing]
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll>  [File is missing]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[3w6l57 / 3w6l57m][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\3w6l57m.sys><N/A>
————————————————————————————————————————
重启电脑即可。

重启电脑后，插入移动硬盘或U盘等移动存储设备时，必须先按住“Shift”键不放，等系统硬件检测完毕，才可以松开此键，再用WinRAR打开删除所有异常的带.exe的模仿文件夹的病毒文件。

就只有一个。看能不能传

附件: System Volume Information.rar

其他照做我的操作

然后删除这个文件

你现在这样

先按照我的操作删除系统内的病毒

然后其他盘可以等我发工具给你

你现在千万别再插移动硬盘了

先操作清理系统内的吧

快点

还有这个东西，他确实复制了硬盘里的文件，不知道它传出去了没有。我的文件很多都是机密。

他不外传文件

你放心好了

你操作清理完系统内的病毒以后

注意插入移动硬盘或U盘等移动存储设备时，必须先按住“Shift”键不放，等系统硬件检测完毕，才可以松开此键，再用下面附件操作清理。

附件: SmtScan.rar (2008-12-15 10:00:24, 832.30 K)
该附件被下载次数 150

下载后解压出来

不要做其他的，直接运行SmtScan.exe

操作“开始扫描”

扫描完以后

再使用这个附件，扫描恢复被隐藏的文件和文件夹

附件: 恶意隐藏文件的专杀.rar (2008-12-15 10:00:24, 391.97 K)
该附件被下载次数 223

可惜我没得到c:\windows\system32\41612d\8b8097.exe这个文件查看

日志启动是有十几个接口错误。启动项目注册表里面处理你发的几个以外，还有很多好像必须删除，因为取消不了。

我要你操作什么，就操作什么

其他与你无关

我知道SRENG工具有那些提示，那是给懂系统和反病毒知识的人看的，不是给你看的

只做我的操作

我没有接移动硬盘。但现在还有两个异常的文件夹。我压缩过来给你看。

这个

附件: RECYCLER.rar

还有这个，现实是空文件，但无法打开，也删除不掉

附件: System Volume Information.rar

你没有接

那你哪来的这两个附件？？？

你意思是你那两个移动硬盘里的不需要扫描清除了？

这两个是纯文件夹

系统的

一个是回收站

一个是系统还原的备份文件夹

他们都没有.exe扩展名

你不会到现在还没绕清楚这模仿文件夹的病毒的行为吧？？？

系统目录内的病毒运行后

会在移动存储设备内，将所有文件夹设置为隐藏的、系统的属性，并创建和文件夹同名的带.exe扩展名的，并且外型是文件夹外型图标的可执行文件耶！！

而一般系统默认不显示隐藏文件、系统文件的。所以可以利用解压工具WinRAR打开移动存储设备看到具体情况的

还有插入移动硬盘或U盘等移动存储设备时，必须先按住“Shift”键不放，等系统硬件检测完毕，才可以松开此键，再用WinRAR打开查看。这是为了防止病毒利用注入移动存储设备内的autorun.inf这个文件，再次启动运行。

还有我那两个附件可以快速扫描并删除类似的病毒文件

以及恢复被隐藏的文件夹

我还没有借移动硬盘就有呢:default3: ，现在倒是接上了。准备用附件杀呢。我QQ20739465，要不你帮我来看看。:default2:

我26楼回你了

什么叫：“我还没有借移动硬盘就有呢”

任何系统内的磁盘根目录都必须有回收站和系统还原的备份文件夹呀

你难道见过哪个电脑磁盘根目录没回收站？？？

一般回收站这些属于系统的、隐藏的属性

你平时没见过而已

喔。是恢复出来的:default3: