每个盘查看隐藏文件都出现pif.exe  autorun.inf,我的每个盘点右键出现两个打开,只有下面的打开菜单才能用.进程中csrss.exe  taskmgr.exe把cpu占满了.用金山可疑文件扫描发现c:\windows\下有1.exe  ,2.exe,3.exe.等等,硬盘里的所有exe文件都变成dos的那种图标,用维金等专杀查不出来,重做系统也不行,d,e,f盘的exe文件依然是那种图标,且过一会c盘就被感染

又是个U盘病毒..文件名随机..

具体写个分析..
运行样本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf

X=C D E F H .... *=大小写字母随机命名

修改注册表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

生成注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

访问网站
http://www.sinavip.net/A.asp?Id=5540850987
http://www.lcsm.cn/nami.htm

Listsas.txt
内容为
4002http://www.sinavip.net/k1.rar
4003http://www.sinavip.net/ma.rar
30"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31"http://www.ishici.com"

listsas.txt 与 服务器上 http://www.sinavip.net/list.txt 同步..
内容一样..

系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用..

连网下载
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
同时生成
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt

处理方法:(安全模式操作)
删除文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.EXE
X:\Autorun.inf

修复注册表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 编辑改成 1

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32\userinit.exe,

删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun" 键值..
(这个键值涉及到一些设置..象我电脑就不会有这个键值..稍微修改下..删除单个键值)

最后更改一下年份即可..

大哥,好复杂啊,有没什么小的专杀工具,或者简单的手工解决办法啊?

del /f /a E:\sxs2.exe
echo .
del /f /a F:\autorun.*
del /f /a F:\desktop.ini
del /f /a F:\folder.htt
del /f /a F:\sxs2.exe
echo .
del /f /a G:\autorun.*
del /f /a G:\desktop.ini
del /f /a G:\folder.htt
del /f /a G:\sxs2.exe
echo .
del /f /a H:\autorun.*
del /f /a H:\desktop.ini
del /f /a H:\folder.htt
del /f /a H:\sxs2.exe
echo .
del /f /a I:\autorun.*
del /f /a I:\desktop.ini
del /f /a I:\folder.htt
del /f /a I:\sxs2.exe
echo .
del /f /a J:\autorun.*
del /f /a J:\desktop.ini
del /f /a J:\folder.htt
del /f /a J:\sxs2.exe
echo .
del /f /a K:\autorun.*
del /f /a K:\desktop.ini
del /f /a K:\folder.htt
del /f /a K:\sxs2.exe
echo .
start C:\WINDOWS\EXPLORER.EXE
echo C 到 K 盘根目录下的组件删除完毕
echo .
echo 现在准备解决无法打开“显示所有文件和文件夹”选项和双击盘符在新窗口打开等的问题
echo 同时按 Ctrl C 组合键可退出本程序
echo .
pause
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /t REG_DWORD /d 00000001
reg delete HKCR\Drive\shell /ve /f
reg add HKCR\Drive\shell /ve /t REG_SZ /d none
echo .
echo 开始删除注册表中的启动项
echo .
echo 如果本程序出现“错误: 系统找不到指定的注册表项或值”表示此病毒开机启动项已删除
echo 或是出现了新变种，请在“系统配置实用程序”自行去除
echo .
echo 同时按 Ctrl C 组合键可退出本程序
echo .
pause
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sxs2 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sxs2.exe /f
echo .
echo 现在打开"系统配置实用程序",请自己再检查一下是否还有它的启动项，如有请自行去掉
echo .
echo 同时按 Ctrl C 组合键可退出本程序
pause
start msconfig
echo .
echo .
echo 清理结束，为保证杀除成功，请注销一下机器
echo .
echo 杀毒结束
echo .
pause

新建一个记事本,将我3楼面的语句复制过去保存.最后将文件的后缀名"TXT"改为"bat",运行一下.问题应该可以解决

谢谢魔刀镇天 的热心,可是我照你的办法,还是无效啊.该死的病毒

mizuki.ys168.com仿威金专杀