文件夹全部变成exe了..杀毒都没用.. bbs.ikaka.com

ztppt - 2010-9-5 15:20:00

不行.
杀完过几分钟又出来了

天月来了 - 2010-9-5 15:29:00

在又出来的那个电脑上扫描SRENG日志来看

电脑数量多么？？

不多就编好号，全扫描日志来看

ztppt - 2010-9-5 15:35:00

目前就服务器有其他电脑都没有

天月来了 - 2010-9-5 15:36:00

那日志给我呀，拖拉个什么哟

包括清理工具的日志呀，那个scan.log文件呢？

ztppt - 2010-9-5 15:39:00

传来了.嘿嘿.莫生气..

附件: SREngLOG.log

天月来了 - 2010-9-5 15:42:00

包括清理工具的日志呀，那个scan.log文件呢？

天月来了 - 2010-9-5 15:45:00

C:\Program Files\Microtek\ScanWizard 5\LANServer.exe是你的正常软件吧

日志没看到此文件夹病毒的影子呢。

你难道出现那文件夹假冒的.exe的位置，都是设置共享了的盘？？

newcenturymoon - 2010-9-5 15:58:00

他这是文件夹病毒感染了多种感染型病毒 .. 最外层是Virut 一种变形的感染型病毒
很难清除

ztppt - 2010-9-5 20:58:00

LANServer.exe
这个是扫描仪的.
嗯所有出现exe的都是设置共享的盘.

天月来了 - 2010-9-5 22:43:00

去找其他盘内没共享的磁盘根目录也一堆这个文件夹病毒的电脑扫描清理吧

那台能够共享你的那些共享磁盘的人的电脑内存在此毒，在不断的向你的电脑写入病毒文件，去找吧

拖拉是改变不了结果的。

ztppt - 2010-9-6 13:15:00

将近20台电脑...怎么查?

天月来了 - 2010-9-6 14:30:00

去每台电脑，快速的用每台电脑内都有的解压工具WinRAR去打开各盘看根目录下是否存在模仿文件夹的.exe同名文件存在呗

或者下载FileTools工具（支持xp系统以及Win7系统）内附操作说明图
附件：FileTools.rar （右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载
运行工具，去打开每台电脑的磁盘查看文件情况呗

或者我在28楼给你的清理工具拿去每台电脑清理试试呗

太多电脑有毒了，没好办法，一台一台折腾吧

ztppt - 2010-9-6 15:56:00

我试了.每台电脑断网查的... 所有exe的后缀文件全部让我给删了。但是一会还是出来

networkedition - 2010-9-6 16:13:00

把系统默认共享关了，客户端设置强密码。

天月来了 - 2010-9-6 16:55:00

你光删除所有那些假冒的.exe文件有个P用

在某些电脑内，此文件夹病毒已经运行着了，开机就自动运行的哟。

并且你某些电脑内还可能存在一个感染型病毒在运行着感染其他.exe程序的。唉

也不知道你懂不懂这逻辑:kaka6:

ztppt - 2010-9-6 17:11:00

关键是用你昨天给我的那个软件我把所有机子都断网杀毒了可是开机后一会还有

ztppt - 2010-9-6 17:11:00

共享都是我给打开的因为下面的机器要随时到共享文件夹访问找文件所以共享必须打开

天月来了 - 2010-9-6 17:16:00

这文件夹病毒我没有试

文件夹病毒有些单纯靠那清理工具是不能解决问题的

你并且一直没有将清理工具清理电脑后的sacn.log日志给我看

所有人的移动存储设备，搞完了没？？很复杂，你自己细想吧。

smallyou93 - 2010-9-6 17:54:00

Serverx.exe

ztppt - 2010-9-6 18:20:00

嗯我记得看到过这样的进程

mopery - 2010-9-7 7:26:00

感染＋下载无药可救

天月来了 - 2010-9-7 7:37:00

并且那感染目前还是不可修复的

baohe - 2010-9-7 9:40:00

引用:

原帖由 mopery 于 2010-9-7 7:26:00 发表
感染＋下载无药可救

RIS 23.00.07.99 可以清除被感染文件中的病毒代码。

经RIS 23.00.07.99处理后的被感染文件可以正常运行。

以被感染的迅雷为例，用RIS 23.00.07.99处理了迅雷安装目录以及公用目录下的被感染文件后，迅雷可以正常使用。

天月来了 - 2010-9-7 9:55:00

啊，那还是可以的嘛，那楼主得所有电脑安装瑞星升级至最新版本，全盘杀毒了。

20多台电脑呢:kaka6:

慢慢折腾吧。

老猫呀，那中毒的情况下，瑞星能开启工作么？？

baohe - 2010-9-7 10:15:00

引用:

原帖由 天月来了 于 2010-9-7 9:55:00 发表

老猫呀，那中毒的情况下，瑞星能开启工作么？？

如果中此毒前安装了RIS2011 ，RIS2011工作没问题。

现在的问题是：如果中此毒前系统中没安装RIS2011，RIS2011在中毒环境中能否顺利安装并正常工作？

待下午有时间时我测试一下。:kaka12:

mopery - 2010-9-7 16:42:00

引用:

原帖由 baohe 于 2010-9-7 10:15:00 发表

引用:

原帖由 天月来了 于 2010-9-7 9:55:00 发表

老猫呀，那中毒的情况下，瑞星能开启工作么？？

如果中此毒前安装了RIS2011 ，RIS2011工作没问题。

现在的问题是：如果中此毒前系统中没安装RIS2011，RIS2011在中毒环境中能否顺利安装并正常工作？

待下午有时间时我测试一下。:kaka1

如果病毒全部跑完了... 系统文件就已经被替换了几个...
我玩完开机都无法开了...

baohe - 2010-9-7 16:58:00

引用:

原帖由 mopery 于 2010-9-7 16:42:00 发表
如果病毒全部跑完了... 系统文件就已经被替换了几个...
我玩完开机都无法开了...

我也是等它完成感染过程后重启的。

重启后，登录桌面————没问题。只是RIS2011不能工作。
按下述操作处理后重启，RIS2011 才能杀毒：

1、建一个空文件1.exe，放在C根目录下

2、用第三方注册表编辑工具（windows注册表编辑器已被病毒禁用）添加一个IFEO劫持项，将病毒主程序 serverx.exe 劫持到c:\1.exe。

3、重启。

4、执行全盘杀毒。

mopery - 2010-9-8 7:01:00

联网状态下测试的么？
我测完是遍地开花禁掉这个进程还有其他十来个.. 应该无法全部清理掉..

baohe - 2010-9-8 15:41:00

引用:

原帖由 mopery 于 2010-9-8 7:01:00 发表
联网状态下测试的么？
我测完是遍地开花禁掉这个进程还有其他十来个.. 应该无法全部清理掉..

看来你我说的不是同样的系统。

估计你说的是XP系统下的染毒及后果。

我说的是WIN7 系统（且在组策略中配置的“应用程序强制规则”）下的染毒情况及处理结果。

WIN7 系统，若配置了“应用程序强制规则”，运行此毒样本后的处理，就是我上面所说的那样。

在XP下运行此毒样本，情况要复杂得多。但还不至于进不了桌面。

XP下病毒完全运行后，可以进入“安全模式”。

在安全模式下，手工删除%windows%\temp目录下的病毒文件（smss.exe和conime.exe）以及system32 目录下的病毒文件serverx.exe ，删除allusers\「开始」菜单\程序\启动目录下的startup.bat。

然后，在启动到正常的windows模式，RIS2011即可正常工作。全盘杀毒即可。不过，被virut感染的程序，经RIS2011处理后不能正常运行。这些程序只好重新安装。

在我的WIN7下，.exe被感染的只有madangel.c，没有virut。

PS：卡巴斯基安全部队2011对这个病毒的处理结果很漂亮：http://bbs.ikaka.com/showtopic-8780892.aspx

ztppt - 2010-9-10 18:05:00

还是没办法解决吗

瑞星卡卡安全论坛