每个盘里面生成1.exe,autorun.inf 如何解决 bbs.ikaka.com

随心korean - 2009-5-26 8:34:00

每个盘里面生成1.exe,autorun.inf这两个隐藏文件删除了从起还是有而且繁殖挺快 U盘一插的话U盘也立即感染
请问各位大侠如何清除谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CIBA)

附件: SREngLOG.log

soaika - 2009-5-26 8:38:00

扫SRENG日志发反病毒论坛来
下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

随心korean - 2009-5-26 9:24:00

谢谢楼上的我下一个带回家去扫扫看而且家里的电脑正常模式下不能上网要在安全模式下才能上网和显示本地连接不知道是这个病毒影响还是什么而且RS杀毒软件和防火墙开机显示网络连接失败然后自动关闭

帅哥阿福 - 2009-5-26 9:29:00

使用2楼给的工具，不用上网，扫完了，找台可以上网的计算机，传到这里来就行了。

随心korean - 2009-5-26 9:38:00

每个盘里面生成1.exe,autorun.inf这两个隐藏文件删除了从起还是有而且繁殖挺快 U盘一插的话U盘也立即感染
请问各位大侠不知道有没有碰到过这种问题如何清除谢谢补充: 而且电脑正常模式下不能上网但能拼通局域网要在安全模式下才能上网和显示本地连接 (不知道是这个病毒影响还是什么因为我朋友说是系统更新一个文件后才出现不能上网的但我没能找到他所更新的文件所以暂时理解为病毒影响) 而且RS杀毒软件和防火墙开机显示网络连接失败然后自动关闭

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CIBA)

随心korean - 2009-5-26 9:41:00

谢谢大家我的意思是下载呵呵传是传哪一项的日志是所有的启动项目还是进程??

天月来了 - 2009-5-26 9:47:00

愿意的话，重装系统，进系统后，绝不打开其他盘，绝不使用原机文件

直接连网去安装升级全功能瑞星杀毒软件全盘杀毒吧

这是具有感染性的木马群病毒，其他盘大量文件已被感染了。

随心korean - 2009-5-26 10:11:00

RS冒似杀不出来吧我进安全模式把RS更新到最新还是查不出来

帅哥阿福 - 2009-5-26 13:37:00

上报SREngLOG.log即可。

天月来了 - 2009-5-26 14:25:00

那尽快用解压工具WinRAR打开各盘，找那个1.exe文件压缩发来

可能又做了免杀处理了

得加库后才能杀

随心korean - 2009-5-26 18:06:00

111

随心korean - 2009-5-26 18:07:00

SRENGLOG已经弄上去了请DX帮忙谢谢

夲號ヱ被ジ盜 - 2009-5-26 18:13:00

又是Aboy木1马群
（俗称超11级A111V1终1结1者）

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\LTDO528K\33[1].exe提取这个文件并压缩发上来

直接急救箱。。。
不一个一个的复制了
重启后打开瑞星并再来分日志即可（别干别的）
http://cu003.www.duba.net/duba/tools/dubatools/install.exe

随心korean - 2009-5-26 18:27:00

刚压缩33[1].exe 时候你上面那个软件刚好下好就没了现在只有3[1].一张JPG格式文件没有可执行文件了......

随心korean - 2009-5-26 18:29:00

不能上网居然是 RS 导致的郁闷卸了就好了

夲號ヱ被ジ盜 - 2009-5-26 18:40:00

晕晕晕

这样直接运行呢？

要不手删吧
想调戏它看着：
http://bbs.ikaka.com/showtopic-8627852.aspx
开始-搜索
*.fon
搜索到的为隐藏属性的全剪切到桌面

常规办法
替换comres.dll（用资源管理器改个名后替换）
路径：C:\windows\system32\comres.dll
或者找到dllcache文件夹，挪出来一个

explorer.exe（用任务管理器结束进程后替换）
路径：C:\windows\explorer.exe
任务管理器找到1.exe右键-结束进程树
附件:文件名:XPSP3.rar
下载次数:0
文件类型:application/octet-stream
文件大小: 492.46 K
上传时间:2009-5-7 23:36:57
描述:rar

此次操作有一定危险性，请备份C盘重要文件（比如放到E盘。。。）打开E盘时用右键，别点那个自动播放

删除：
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\LTDO528K\33[1].exe
C:\WINDOWS\system32\aBuH8MAyRRuJ.dll
C:\WINDOWS\fonts\f13ERxR2Urh.fon
C:\WINDOWS\fonts\vwuXtYbhj.fon
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\GrTZqH5SnRhAt.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\system32\DcXb7abe.dll
C:\WINDOWS\system32\JTsfDEXY4s.dll
C:\WINDOWS\system32\BMsg6pdMD4ht.dll
C:\WINDOWS\system32\yp77Tt3UCG74J.dll
C:\WINDOWS\fonts\uXUsF2RrQy.fon
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\A1A6BC2E.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\RV2MbKrHA.dll
C:\WINDOWS\fonts\Q9UnbAWWNuSv4.fon
C:\WINDOWS\system32\wF87W8XjgDW5Es6tuA.dll
C:\WINDOWS\system32\ufQCU5.dll
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\WINDOWS\System32\SGCQ.dll

附件: XDelBox.rar

随心korean - 2009-5-26 19:01:00

楼上果然是高手不管怎么样都得好好谢谢呵呵 fon应该是字体文件格式吧

天月来了 - 2009-5-26 19:06:00

那个你不管了，那些假字体全是病毒恶搞的

你不需要怀疑他列出的那些需要删除的文件。

随心korean - 2009-5-26 19:07:00

一看就是高手没怀疑啊在搞啊

随心korean - 2009-5-26 19:18:00

这方面比较菜不怎么懂这个替换是去别的地方COPY一个过来替换还是说复制出来然后在进去替换?

随心korean - 2009-5-26 21:37:00

谢谢搞定了

瑞星卡卡安全论坛