1   1  /  1  页   跳转

[求助] 病毒

收藏
本主题由 版主 天月来了 于 2009-11-28 13:56:18 执行 关闭主题/取消 操作
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-09 20:52 | 显示全部 短消息 资料
字号: 1楼

病毒

前几天单位电脑由于用优盘,中了病毒。开机提示WINDOWS找不到文件.....系统无法加载......,最具特色的是所有硬盘下的文件夹变为1KB的快捷方式,并且增加了几个文件夹,文件夹内容大致是'要不'乱偶给号外起的我,名文中暴叫字我,风文英的叫字名.......这几个文件夹删不掉,并且通过优盘传播。我的二个优盘也因此报废。单位的两台机子不能用,重做系统,没格非系统盘不管用,第二次装所有硬盘全部格,往进倒数据时候又染上该病毒,也可能根本没有格掉。今天上网发现许多朋友也中了此招。可恨的是,瑞星根本查不出来。360修复IE可以找出,但根本处理不了。给瑞星公司发过去日志,对方说没有病毒。崩溃。我真怀念没有电脑的日子.不知什么时候这种病毒才能被解决。我的电脑,我的优盘怎样解决?请各位给支个招。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
最后编辑天月来了 最后编辑于 2009-11-28 13:57:03
分享到:
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-09 21:11 | 显示全部 短消息 资料
字号: 2楼

1KB文件夹病毒有好的办法吗

'要不'乱偶给号外起的我,名文中暴叫字我,风文英的叫字名yoBniF .e-_-.......
所有的盘符下的文件夹变成同名的1kb快捷方式。
这是这个病毒的代码。通过优盘传播。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件附件:

下载次数:1499
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-9 21:11:17
描述:rar
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-10 15:25 | 显示全部 短消息 资料
字号: 3楼

回复: 1KB快捷方式病毒

天月,我是新来的,不知道。请见谅。正在扫描。稍后发过去。
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-10 17:53 | 显示全部 短消息 资料
字号: 4楼

回复: 1KB文件夹病毒有好的办法吗



引用:
原帖由 天月来了 于 2009-9-10 8:11:00 发表
这个1kb的文件夹快捷方式的右键属性,查看指向什么***.vbs文件,找到那个***.vbs文件压缩发来,那文件具有隐藏的、系统的属性,需要用解压工具WinRAR依路径打开找那***.vbs文件。

还有用SRENG工具扫描系统日志发这论坛来

点击下载:[url=http://bbs.ikaka.com/attachment.aspx?attachmentid




天月老师你好,我现在把1KB病毒详细给你发过来。
1.发来用SRE扫描的结果,在附件中。
2.发来截图1,是每次打开我的电脑、IE或硬盘时都有的WINDOWS脚本宿主提示。
  截图2,是每个硬盘下多的两个文件夹,RE和SYS起头的那两个文件夹。这两上文件删不掉。两个文件夹的内容只有点编辑时才能看出来,,具体内容我压缩一个给你发个附件过去,打开时请小心,以免中毒。另外从此图中可以看出快捷方式文件1KB的图样。
    截图3,右键是打开硬盘时,有自动播放提示。右键打开文件夹时有编辑提示。
3.瑞星公司发的扫描AUTO,在安全模式和XP下均无法运行,好象是CMD命令,内容是I AM  HERE.......PRESS ANY 键继续。然后一闪而过。另外有时发现硬件时,也是这样的提示。所以我不知道,这个命令是AUTO给的,无法运行,还是病毒的命令.
4.开机提示WINDOWS找不到%SYStemRoot\system\svchost.exe,无法加载或运行systemroot\system\svchost.exe.
5.您给发的SRE,开始运行时,提示,下面的函数内容与预期不符,他们可能被一些恶意的文件所修改,接下来是一串函数。
6.此病毒通过U盘传播。
只想到这些,有问题再反馈给你。
另外我被感染的U盘,还能用吗,去哪杀毒?
以上问题,麻烦老师,我先谢过了。

附件附件:

下载次数:275
文件类型:text/plain
文件大小:
上传时间:2009-9-10 17:53:12
描述:扫描日志
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-10 21:15 | 显示全部 短消息 资料
字号: 5楼

回复: 1KB快捷方式病毒



引用:
原帖由 天月来了 于 2009-9-10 18:15:00 发表
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\sms

谢谢,明天去单位处理。我的U盘格式化,可以去别的电脑上吗?会不会传播病毒?另外,今天忘记给传过去那几个病毒文件的压缩了,明天吧。谢谢,我会认真看你的:SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-11 08:11 | 显示全部 短消息 资料
字号: 6楼

回复: 1KB快捷方式病毒

我真是没有设置过系统显示隐藏文件、显示系统、显示文件扩展名,一直是系统默认的。U盘的事我是说,我的盘上有毒,在别人机子上杀毒,会不会把我的文件夹病毒传给他?在他的机子上通过组策略,禁止自动播放就传不上上我的病毒了吗?
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-11 09:54 | 显示全部 短消息 资料
字号: 7楼

回复: 1KB快捷方式病毒



引用:
原帖由 xiewei2347 于 2009-9-11 8:11:00 发表
我真是没有设置过系统显示隐藏文件、显示系统、显示文件扩展名,一直是系统默认的。U盘的事我是说,我的盘上有毒,在别人机子上杀毒,会不会把我的文件夹病毒传给他?在他的机子上通过组策略,禁止自动播放就传不上上我的病毒了吗?


老师好:我现在开始用你的第一步,批量提取,然后用费尔。结果:
            1.提取文件时出现错误,因为打不开备份文件夹,任何硬盘下的文件夹都打不开,下载时选择文件夹也是同样打不开,我只能提取到我的文档,然后压缩,我把错误的压缩发给你。
            2.费尔操作以后,仍然没有解决问题。
            3.我把那几个文件压缩后发给你,文件名947194999,那是病毒的文件,请小心打开。
          4.传完后,我开始用第二个方法,用SREN删除注册表。
谢谢老师。

附件附件:

下载次数:246
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-11 9:54:08
描述:提取批量文件

附件附件:

文件名:947194999.rar
下载次数:228
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-11 9:54:08
描述:病毒文件
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-11 12:45 | 显示全部 短消息 资料
字号: 8楼

回复: 1KB快捷方式病毒



引用:
原帖由 天月来了 于 2009-9-11 11:07:00 发表
这个玩意处理起来,还真麻烦

目前没有专用的搜索删除工具

你这样吧:

首先这里下载进程管理器:
附件: [url=http://bbs.ikaka.com/attachment.aspx?attachmentid=430336][color=#0000


你好,我上午用SREN删除注册表,结果提示有两个问题,分别是你提示的LOAD和AppInit_DLLs。前者删除后,提示后者,然后我点编辑,删除内容。确定,接着又提示LOAD的问题,一直这样循环往复。现在有一个进步,就是打开硬盘不显示显示宿主了,右击硬盘不显示自动播放了。我下午用你给的办法进程管理器、搜索。然后给你回话。
我在病毒电脑上格了我的U盘,不知病毒还在吗?我不敢在别的机器上看。我是说,在别的机子上通过组策略,禁止自动播放,再格一次就不怕我U盘的病毒了吗? 是不是就可以打开了。
刚才在我家电脑上用SRENG,也发现有APPLNIT DLLS,更改为KMON。DLL,点这项,是瑞星KAKA的程序,但我家的没有提示LOAD。如果单位的是病毒的话,我家的呢?我把扫描日志给你发过去,你看看。

附件附件:

下载次数:275
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-11 13:01:10
描述:SRENG扫描日志

最后编辑xiewei2347 最后编辑于 2009-09-11 13:01:10
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-11 15:16 | 显示全部 短消息 资料
字号: 9楼

回复: 1KB快捷方式病毒



引用:
原帖由 天月来了 于 2009-9-11 14:16:00 发表


实际上对于此毒来说

在一个原本无毒的系统内,此毒只是依赖无毒系统内的C:\WINDOWS\system32\WScript.exe系统文件运行的。这只要用我那签名处的进程监视器可以轻松监控到。

在已中毒的系统内,就转为依赖C:\WINDOWS\system\svchost.exe文件开机自启动了,而这个svchost.exe实际上就是复制的原系统内的C:\WINDOWS\sy


你好,执照你的提示,我用进程管理器和搜索,进程管理器里终止了一部分进程,但重启依然有system\svschost.exe.另外经常跳出参数不正的提示,我把截图给你发过去。另外把刚才格式化后的U盘用WINRAR查出的文件给压缩过去。

附件附件:

文件名:947194999.rar
下载次数:237
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-11 15:15:52
描述:U盘WINRAR下的文件,删不掉

附件附件:

文件名:680589357.rar
下载次数:230
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-11 15:15:52
描述:搜索到的VBS文件压缩包
gototop
 
xiewei2347
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-09-09
  • 来自:
发表于: 2009-09-13 20:44 | 显示全部 短消息 资料
字号: 10楼

回复: 1KB快捷方式病毒

我用大蜘蛛清理了一下,然后用清理助手又清理了一下,倒是基本修复了,但是有一个问题:A机病毒,我将A机的有用数据(一个文件夹)备份到U盘,复制到B机,导致B机也中此毒,重做A机系统,把先前备份的U盘插入A机,(只是为了把驱动精灵及驱动先装好,顺便把先前的数据也装入A机D盘)但又导致A重新中毒,现在A修好后,发现复制过去的文件夹只留下快捷方式,根本没有内容。又去B机(期间也曾用大蜘蛛和清理助手),发现同样问题。这样,我的本来的文件夹是不是全丢了?是病毒把我的文件夹隐藏了,还是当病毒给删除了?原来我在B机上能打开这个文件夹的。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT