瑞星卡卡安全论坛

请高手诊断！！！！
昨天用了一次别人的U盘
然后今天就发现问题了

症状1：
每个硬盘盘符下，都有一个文件夹的快捷方式，只有一个。文件夹是盘符下任意的，删除还有，把那个原文件夹删除，快捷方式也不会消失。

症状2：
不让运行奇虎360检查漏洞，不让运行木马专杀软件，瑞星可以用，但瑞星找不到病毒。

症状3：
开机时提示C盘有文件丢失，文件名记不住了，好像是XP系统的某个文件

症状4：
格式化重装机，之后还是这个样子，一点都没有改善


其它运行正常，目前没有发现别的症状

跪求各位大师给诊断一下，这是什么妖物，如何才能灭了这鳖羔子的！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

您可以下载SREng

打开后点智能扫描．勾选检查进程模块的数字签名，点扫描．把日志以log日志导出并作为附

件贴到论坛里．

第二楼见SREng操作方法



如果SREng因病毒的干扰不能运行或扫描日志，您可以将SREng.exe改名为我爱小狮子.bat,

我爱小狮子.com,我爱小狮子.scr.

先感谢您出手相助！
万分感谢

附件已经发上来了
另外扫描之后，出现了这样的提示
一起发给你

附件: SREngLOG.log (2009-1-30 20:26:39, 37.22 K)
该附件被下载次数 209

删除浏览器加载项
[]
  {00000231-1000-0010-8000-00AA006D2EA4} <C:\WINDOWS\system32\WinXP.bmp, Microsoft Corporation>

并删除C:\WINDOWS\system32\WinXP.bmp

用右键打开各根目录中autorun.inf文件，清空其内容．删除RunDll32.exe，删除根目录的Thumbs.lnk

先谢谢啦

按照你的知道
第一步：
删除浏览器加载项  {00000231-1000-0010-8000-00AA006D2EA4} <C:\WINDOWS\system32\WinXP.bmp, Microsoft Corporation>
完成

第二步：
并删除C:\WINDOWS\system32\WinXP.bmp
完成第一步时，这个文件就跟着一起不见了

第三步：
用右键打开各根目录中autorun.inf文件，清空其内容．删除RunDll32.exe，删除根目录的Thumbs.lnk
说实话，我电脑水平有限，没看懂，用右键打开什么根目录？哪里的根目录？

救人救活，打人打死
还请进一步指导！！！
再谢！

就是打开每个磁盘，删根目录下的不明文件呗

你可能需要用解压工具WinRAR打开磁盘看根目录下不明文件：

你中了比较BT的U盘病毒。
你说瑞星等安全工具瑞星不了，不排除这是病毒在映像劫持或还原SSDT方面的杰作。至于格式化后还有毒，那是因为病毒在每个磁盘分区都有副本，利用自动运行病毒就死灰复燃了。还有，系统文件丢失很可能是病毒为了保护自己而做的坏事。

感谢以上诸位的帮助！！！
天月真贴心，特别谢谢啦！
我用了zip，要不还真找不到

现在的问题是：
1、autorun.inf文件，清空其内容后，不让保存
2、RunDll32.exe根本找不到
3、Thumbs.lnk 删除后，3秒钟自动恢复

另外
开机的提示我抄下来了
是：c:\windows\system32\nvcpl64.dll出错
丢失条目：rundll32.exe

小灯的判断非常有可能
我用的别人的U盘，是我小姨子的
她春节从日本回来探亲，用的笔记本是日本原文的
她想把她本本中的文件转给我
结果用了之后就这样了

得出两个结论：
1、日本的东西就是BT
2、跟小姨子不要太亲近

转告天下哥们——离日本人和小姨子都远一点！

既然三秒就恢复

那么再扫最新日志来

Thumbs.lnk 确实是在根目录下么？

按照此文发一个Autoruns的LOG上来（第三部不操作）
http://hi.baidu.com/pluto1313/blog/item/7d6d6ae789f3a729b93820cf.html

Autoruns的下载：http://pluto1313.ys168.com

1、Thumbs.lnk确实在根目录下
2、我突然发现，C:\WINDOWS\system32\WinXP.bmp竟然还在，而且不让删除，拒绝，写保护

新日志传上来啦

附件: SREngLOG.log (2009-1-30 22:57:46, 35.47 K)
该附件被下载次数 131

Thumbs.lnk 不是一个快捷方式，而是一个dll文件，伪装了

JayFaye 您提供的页面出错，不能读取
您提供的工具仅仅能下载到30%，就停下来了，我用了各种下载工具也不灵。

你说它伪装了，我也不太明白
应该咋办哪？？！

教程页面已修正，现在可以打开了

Autoruns直接下载：
http://download.sysinternals.com/Files/Autoruns.zip
下载解压后运行autoruns.exe

没做第三步
传了

附件: AutoRuns.txt (2009-1-30 23:11:33, 64.85 K)
该附件被下载次数 221

下载SmtDel这个工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=445131
解压到某个目录下，然后下载本附件解压到相同的目录下（替换原有文件），运行SmtDel.exe，点开始处理即可

附件: SmtDel.rar

不好啦！
这个病毒开始强制关我的浏览器啦

咦
我看不到你的附件了
刚下载完第一个
附件还没下载呢

感谢
全部执行完毕
重启

然后各盘符目录下的莫名其妙的文件夹快捷方式都可以删除啦
360的系统漏洞也可以查啦

但
1、开机的时候，出现了新的提示
加载c:\windows\systrm32\nvcpl64.dll时出错，找不到指定的模块
这个怎么消除呢？

2、防火墙不断提示我
一个安全的系统启动项正在被装入
名称：RavStub
路径："C:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE
出品公司：Beijing Rising Technology Co., Ltd.
这个安全不？

又提示我
一个启动项正在装入
名称：BigDog303
路径：; C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC030X)
出品公司：
行为描述：新增系统启动项

还有一个
USB PC Camera (ZC030X)
出品公司：
行为描述：新增系统启动项
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

不停的提示

找不到模块那个问题你用SREng把它的注册表残留值删除即可
360提示的那个是瑞星的东西，正常的

又来一个
名称：NvMediaCenter
路径：; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
出品公司：
行为描述：新增系统启动项
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

又来一个
名称：nwiz
路径：; nwiz.exe /install
出品公司：
行为描述：新增系统启动项
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这些都可不可以执行呀？

全部正常，都可以放行，360什么都提示，lz不明白这些就关闭360的系统防火墙的功能

非常非常感谢
瑞星万岁！
众高手万岁！