瑞星卡卡安全论坛
xiewei2347 - 2009-9-9 20:52:00
前几天单位电脑由于用优盘,中了病毒。开机提示WINDOWS找不到文件.....系统无法加载......,最具特色的是所有硬盘下的文件夹变为1KB的快捷方式,并且增加了几个文件夹,文件夹内容大致是'要不'乱偶给号外起的我,名文中暴叫字我,风文英的叫字名.......这几个文件夹删不掉,并且通过优盘传播。我的二个优盘也因此报废。单位的两台机子不能用,重做系统,没格非系统盘不管用,第二次装所有硬盘全部格,往进倒数据时候又染上该病毒,也可能根本没有格掉。今天上网发现许多朋友也中了此招。可恨的是,瑞星根本查不出来。360修复IE可以找出,但根本处理不了。给瑞星公司发过去日志,对方说没有病毒。崩溃。我真怀念没有电脑的日子.不知什么时候这种病毒才能被解决。我的电脑,我的优盘怎样解决?请各位给支个招。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Fabregas - 2009-9-9 20:59:00
反病毒区上传日志
使用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:
http://www.kztechs.com/sreng/download.html操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”中;
6、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序
xiewei2347 - 2009-9-9 21:11:00
'要不'乱偶给号外起的我,名文中暴叫字我,风文英的叫字名yoBniF .e-_-.......
所有的盘符下的文件夹变成同名的1kb快捷方式。这是这个病毒的代码。通过优盘传播。用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)附件:
所有的盘符下的文件夹变成同名的1kb快捷方式.rar
whzl123 - 2009-9-9 21:20:00
天月来了 - 2009-9-10 8:11:00
这个1kb的文件夹快捷方式的右键属性,查看指向什么***.vbs文件,找到那个***.vbs文件压缩发来,那文件具有隐藏的、系统的属性,需要用解压工具WinRAR依路径打开找那***.vbs文件。
还有用SRENG工具扫描系统日志发这论坛来
点击下载:
SRENG工具 (内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载
建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。
天月来了 - 2009-9-10 8:16:00
谁告诉你在这区求助能解决问题的??
谁给我转求助区去:kaka6:
whzl123 - 2009-9-10 10:42:00
BS天月啊,,你连这个附件都没看,,啊,,就让别人操作,什么属性
附件里面是个WORD文档
天月来了 - 2009-9-10 10:53:00
啊
是呀
是个word文档呀
你以为是什么呢??
你没看文档内容吧???:kaka6:
xiewei2347 - 2009-9-10 15:25:00
天月,我是新来的,不知道。请见谅。正在扫描。稍后发过去。
baohe - 2009-9-10 16:43:00
原帖由 天月来了 于 2009-9-10 8:16:00 发表
谁告诉你在这区求助能解决问题的??
谁给我转求助区去:kaka6:
为二嫂效力。我转过来了:kaka16:
你们继续
我不打扰
xiewei2347 - 2009-9-10 17:53:00
天月来了 - 2009-9-10 18:07:00
下载文件批量提取工具提取下面文件
附件:
文件提取处理器.rar (内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载
提取:
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\386894290.vbs
C:\386894290.vbs
D:\947194999.vbs
E:\327256353.vbs
F:\1552260564.vbs
G:\680589357.vbs
不论提取结果如何,哪怕提取失败,也请压缩发来看看
然后
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件:
费 尔.rar(内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载
删除:
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\386894290.vbs
C:\Autorun.inf
C:\386894290.vbs
D:\Autorun.inf
D:\947194999.vbs
E:\Autorun.inf
E:\327256353.vbs
F:\Autorun.inf
F:\1552260564.vbs
G:\Autorun.inf
G:\680589357.vbs
不论删除结果如何立即重启电脑,看情况如何。
记住任何时候不要再去企图打开其他盘的文件夹快捷方式了
将那些文件夹快捷方式压缩几个发来
唉
真不知道你出于什么原因,死也不愿意细看我说的东西
浪漫纸箱 - 2009-9-10 18:14:00
先帮天月师父答两点
5.您给发的SRE,开始运行时,提示,下面的函数内容与预期不符,他们可能被一些恶意的文件所修改,接下来是一串函数。
答:根据现在的这份日志看是卡卡修改的,正常。
7.我被感染的U盘,还能用吗,去哪杀毒?
答:如果U盘里面没有重要的文件,建议格式化。
另外:瑞星杀软可以设置,禁止U盘可执行文件运行。
天月来了 - 2009-9-10 18:15:00
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\smss.exe:386894290.vbs"> []
将这项的内容清空:
<load><%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\smss.exe:386894290.vbs"> []
就是改为
<load><>
内容清空即可
SRENG工具的各项操作看这里:
http://bbs.ikaka.com/showtopic-8545446.aspx
xiewei2347 - 2009-9-10 21:15:00
原帖由 天月来了 于 2009-9-10 18:15:00 发表
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\sms
谢谢,明天去单位处理。我的U盘格式化,可以去别的电脑上吗?会不会传播病毒?另外,今天忘记给传过去那几个病毒文件的压缩了,明天吧。谢谢,我会认真看你的:
SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx
天月来了 - 2009-9-11 7:07:00
你难道从来都不设置自己的系统显示隐藏文件、显示系统、显示文件扩展名???
至于U盘拿别人的电脑上是否被传播病毒,完全取决于别人电脑上是否有病毒。
而别人电脑上是否有病毒,应该不是你能大规模过问的吧??
除非你是网管
xiewei2347 - 2009-9-11 8:11:00
我真是没有设置过系统显示隐藏文件、显示系统、显示文件扩展名,一直是系统默认的。U盘的事我是说,我的盘上有毒,在别人机子上杀毒,会不会把我的文件夹病毒传给他?在他的机子上通过组策略,禁止自动播放就传不上上我的病毒了吗?
xiewei2347 - 2009-9-11 9:54:00
原帖由 xiewei2347 于 2009-9-11 8:11:00 发表
我真是没有设置过系统显示隐藏文件、显示系统、显示文件扩展名,一直是系统默认的。U盘的事我是说,我的盘上有毒,在别人机子上杀毒,会不会把我的文件夹病毒传给他?在他的机子上通过组策略,禁止自动播放就传不上上我的病毒了吗?
老师好:我现在开始用你的第一步,批量提取,然后用费尔。结果:
1.提取文件时出现错误,因为打不开备份文件夹,任何硬盘下的文件夹都打不开,下载时选择文件夹也是同样打不开,我只能提取到我的文档,然后压缩,我把错误的压缩发给你。
2.费尔操作以后,仍然没有解决问题。
3.我把那几个文件压缩后发给你,文件名947194999,那是病毒的文件,请小心打开。
4.传完后,我开始用第二个方法,用SREN删除注册表。
谢谢老师。
附件:
批量文件夹.rar 附件:
947194999.rar
天月来了 - 2009-9-11 10:44:00
你盘上的毒如果对方的电脑上的杀毒软件能杀,自然没问题了。
如果不能杀,并且他的电脑也没显示隐藏文件,没显示系统文件,没显示文件扩展名,那么你自然还是看不出U盘里的异常的了。
自然是随意打开文件夹,还是易中毒的了。
我估计这逻辑顺序告诉你,你也一时弄不懂
你现在左右无事,去用解压工具WinRAR打开各盘,看看就知道了。
天月来了 - 2009-9-11 11:07:00
这个玩意处理起来,还真麻烦
目前没有专用的搜索删除工具
你这样吧:
首先这里下载进程管理器:
附件:
进程管理器.rar(内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载
在进程管理器里,终止下面的可能还存在的进程:
C:\WINDOWS\system32\WScript.exe
C:\WINDOWS\system\svchost.exe
注意:路径和文件名一定要看准确了,别自以为是的去终止C:\WINDOWS\system32\里的svchost.exe进程。
然后下载这个搜索工具,去搜索文件去:
附件:
文件搜索工具.rar(内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载
如下图,搜索 *.vbs 文件
搜索到的,类似的数字********.vbs的所有这类文件,全部选择,并右键菜单选择删除即可
最后用SRENG工具
在扫日志的SRENG工具》系统修复》文件关联》修复文件关联
SRENG工具的各项操作看这里:
http://bbs.ikaka.com/showtopic-8545446.aspx
xiewei2347 - 2009-9-11 12:45:00
原帖由
天月来了 于 2009-9-11 11:07:00 发表
这个玩意处理起来,还真麻烦
目前没有专用的搜索删除工具
你这样吧:
首先这里下载进程管理器:
附件: [url=http://bbs.ikaka.com/attachment.aspx?attachmentid=430336][color=#0000
你好,我上午用SREN删除注册表,结果提示有两个问题,分别是你提示的LOAD和AppInit_DLLs。前者删除后,提示后者,然后我点编辑,删除内容。确定,接着又提示LOAD的问题,一直这样循环往复。现在有一个进步,就是打开硬盘不显示显示宿主了,右击硬盘不显示自动播放了。我下午用你给的办法进程管理器、搜索。然后给你回话。
我在病毒电脑上格了我的U盘,不知病毒还在吗?我不敢在别的机器上看。我是说,在别的机子上
通过组策略,禁止自动播放,再格一次就不怕我U盘的病毒了吗? 是不是就可以打开了。
刚才在我家电脑上用SRENG,也发现有APPLNIT DLLS,更改为KMON。DLL,点这项,是瑞星KAKA的程序,但我家的没有提示LOAD。如果单位的是病毒的话,我家的呢?我把扫描日志给你发过去,你看看。
附件:
新建 文本文档.rar
天月来了 - 2009-9-11 14:04:00
SRENG的APPLNIT DLLS项提示不管它
唉
你在21楼提供的附件是没用的文件
你只管注意我说的东西
我没说的东西你不管它
我要你用解压工具WinRAR依路径打开各盘,看文件夹和文件情况
你做了吗??是不相信我??还是鄙视用RAR工具打开看文件的行为??
真不知道你迟疑什么??犹豫什么??
用解压工具WinRAR打开U盘看根目录下不明文件:
天月来了 - 2009-9-11 14:16:00
唉
实际上对于此毒来说
在一个原本无毒的系统内,此毒只是依赖无毒系统内的C:\WINDOWS\system32\WScript.exe系统文件运行的。这只要用我那签名处的进程监视器可以轻松监控到。
在已中毒的系统内,就转为依赖C:\WINDOWS\system\svchost.exe文件开机自启动了,而这个svchost.exe实际上就是复制的原系统内的C:\WINDOWS\system32\WScript.exe文件改名而已。
阻止这两程序的任意启动,即可阻止所有类似的********.vbs文件被误执行。:kaka6:
就可以阻止这毒的恶搞
可惜没人愿意学点我签名处的进程监视那里的安全防护知识。
绝大多数人的系统都是全开放式的工作,任意程序可以任意运行。
xiewei2347 - 2009-9-11 15:16:00
原帖由 天月来了 于 2009-9-11 14:16:00 发表
唉
实际上对于此毒来说
在一个原本无毒的系统内,此毒只是依赖无毒系统内的C:\WINDOWS\system32\WScript.exe系统文件运行的。这只要用我那签名处的进程监视器可以轻松监控到。
在已中毒的系统内,就转为依赖C:\WINDOWS\system\svchost.exe文件开机自启动了,而这个svchost.exe实际上就是复制的原系统内的C:\WINDOWS\sy
你好,执照你的提示,我用进程管理器和搜索,进程管理器里终止了一部分进程,但重启依然有system\svschost.exe.另外经常跳出参数不正的提示,我把截图给你发过去。另外把刚才格式化后的U盘用WINRAR查出的文件给压缩过去。
附件:
947194999.rar 附件:
680589357.rar
天月来了 - 2009-9-11 16:04:00
唉
还是没细看我说的操作过程
你自己耐心细看吧
我不想再折腾了
天月来了 - 2009-9-11 16:09:00
看短消息
天月来了 - 2009-9-12 7:06:00
唉
我就不明白了
我前面描述的真的那么难操作吗??
你再来个最新的SRENG日志我看
baohe - 2009-9-12 7:37:00
18楼的附件,在我那tiny的BT规则下,根本无法运行:kaka12:
牧马人1 - 2009-9-12 16:39:00
下载一个U盘病毒专杀工具--USBCLeaner,全盘扫描。里面的文件夹图标病毒专杀工具能迅速杀灭病毒,修复显示隐藏文件及系统文件。我前几天也这种情况,就这样好了。
xiewei2347 - 2009-9-13 20:44:00
我用大蜘蛛清理了一下,然后用清理助手又清理了一下,倒是基本修复了,但是有一个问题:A机病毒,我将A机的有用数据(一个文件夹)备份到U盘,复制到B机,导致B机也中此毒,重做A机系统,把先前备份的U盘插入A机,(只是为了把驱动精灵及驱动先装好,顺便把先前的数据也装入A机D盘)但又导致A重新中毒,现在A修好后,发现复制过去的文件夹只留下快捷方式,根本没有内容。又去B机(期间也曾用大蜘蛛和清理助手),发现同样问题。这样,我的本来的文件夹是不是全丢了?是病毒把我的文件夹隐藏了,还是当病毒给删除了?原来我在B机上能打开这个文件夹的。
© 2000 - 2025 Rising Corp. Ltd.
