计算机所有文件夹后缀都带EXE bbs.ikaka.com

婉如清风 - 2009-2-20 11:11:00

求助..工作室的电脑.现在中毒.所有电脑的文件夹后缀都带EXE.正常的被隐藏看不到了. 显示全部隐藏文件的选择也改不过来.
系统整个工作室都做过.做完后exe能清除掉.隐藏的文件也用工具给恢复了.但是过半天又多出来了.还是之前的情况.
大家有什么办法能彻底清除吗? 再不把其他盘格式化的同时?
几款常用的杀软和USB杀毒都试了..
就一个叫什么 USB什么6.0的可以用.但是清除掉半天又出来了.
郁闷..

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

婉如清风 - 2009-2-20 11:17:00

貌似没人吗？:default8:

caogensk - 2009-2-20 11:18:00

在有中毒迹象时..扫一个系统日志传上来....

下载SRENG工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=462487
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

Mr_DJ - 2009-2-20 11:18:00

扫SRENG日志发反病毒/反流氓区论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

帅哥阿福 - 2009-2-20 11:19:00

扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

楼主一定要上报扫描日志，将日志发到这里，找到可疑文件后，提交给瑞星，这样，升级瑞星到最新版本后，工作室内每台计算机都要断网杀毒，你说的此类病毒很可能是蠕虫病毒，会通过漏洞传播的，一台计算机存在，很可能会感染局域网内其他计算机的。

婉如清风 - 2009-2-20 11:22:00

传上了。

附件: SREngLOG.log

婉如清风 - 2009-2-20 11:24:00

都试了。而且都是断网重做的系统.杀的毒.
但是过半天又都出来了...
但是只要我不点 exe 文件就没事.也能看到隐藏的文件.
只要我一勿点了.隐藏的文件就都没有了.然后病毒都显示出来了.文件夹全成 479KB了!

天月来了 - 2009-2-20 11:25:00

你们能不能少回点扫描日志的建议哟

连续好几个:default3:

婉如清风 - 2009-2-20 11:26:00

我不懂额..

天月来了 - 2009-2-20 11:28:00

快去找个那样的文件发来

压缩发来

要快

尽量多找两个其他电脑内的

我要下班了

婉如清风 - 2009-2-20 11:30:00

我又在服务器里扫描了下.
现在只有打开服务器映射的时候才显示exe文件.
各个机器的本地都不显示.

附件: SREngLOG.log

天月来了 - 2009-2-20 11:31:00

你现在的那个日志是真在有问题的电脑上的吗？？？？

急需要有那样问题的电脑上的日志

至于样本文件，需要多台电脑上的才好确认是否有几个变种

如果全是同一变种，就简单了。

婉如清风 - 2009-2-20 11:33:00

恩..第2次传的是服务器里的.目前就服务器里有exe病毒.只要我一点.本机也中毒了....
我把图传给你看下

caogensk - 2009-2-20 11:33:00

第一个机器。
删除注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
<IFEO[auto.exe]><AUTOGUARDER GUARDED.> [N/A]
删除服务

[mywinter / dongtian][Stopped/Auto Start]
<C:\windows\system32\javasc.exe><(File is missing)>
水平有限，只看出这点。

天月来了 - 2009-2-20 11:33:00

C:\WINDOWS\uninstall\rundl132.exe这应该是你服务器上正常文件吧？

压缩发来看

天月来了 - 2009-2-20 11:34:00

那些文件能删除吗？？？

发两个来呀

婉如清风 - 2009-2-20 11:35:00

删了又出来.出来再删刷新又出来

天月来了 - 2009-2-20 11:36:00

唉

小傻瓜

文件呢？？？

压缩发来呀

一个一个单独压缩传来

传两个即可

婉如清风 - 2009-2-20 11:37:00

传上来了

附件: uninstall.rar

天月来了 - 2009-2-20 11:39:00

那你13楼图中那些带.exe的模仿文件夹的文件呢？？

快发来哟

婉如清风 - 2009-2-20 11:42:00

所有文件都这样...

附件: autorun.inf.rar

附件: 网传聊天记录备份.rar

婉如清风 - 2009-2-20 11:44:00

大约多久能出结果?
店里都有4天了.
天天围绕着...杀不掉.也删:default8: 不掉.愁死了.

天月来了 - 2009-2-20 11:45:00

下载下面附件

将你的那里所有电脑

所有移动存储设备插在电脑上

全部扫描吧

全部断网扫描

附件: AntiFldVir.rar

婉如清风 - 2009-2-20 11:48:00

我用 usb cleaner6.0 检测出来的病毒名字是
warm win32 fake folder mywinter
这个能杀掉.
但是服务器的不知道怎么杀了还有.

天月来了 - 2009-2-20 11:49:00

记得扫描完以后，将所有电脑上的这个工具扫描后的清理日志scn.log压缩发我看看

婉如清风 - 2009-2-20 11:50:00

月姐,能方便把你QQ PM发给我吗?以后找有问题请教也方便的多.:default7:

婉如清风 - 2009-2-20 11:50:00

恩.这就断一个机器扫描

婉如清风 - 2009-2-20 11:52:00

服务器我不能断.现在还在运做.

天月来了 - 2009-2-20 11:52:00

那你在服务器上安装了 usb cleaner6.0 没有？？？

服务器上的病毒，就得工具放在服务器上扫描清理呀

不能在别的电脑上去扫描服务器上的文件夹？？

尽量断网扫描

因为共享的存在，可能哪台电脑不断向服务器的共享文件夹内写那些病毒

天月来了 - 2009-2-20 11:54:00

你如果断不了服务器

就得想办法断开其他能断开的电脑

瑞星卡卡安全论坛