瑞星卡卡安全论坛

我使用了一个已中病毒的U盘使用在我的电脑上，出现了以下的染毒征状：
1、我插入U盘，双击了一个原有的文件夹（后发现已染毒）；
2、出现警告，病毒修改我的注册表，被拒绝；
3、我电脑中所有的文件夹的图标发生变化（由原来的方方正正的夹子状，变成斜体状的文件夹图标）
4、执行任何一个文件夹均要求修改我的注册表；
5、进入DOS模式，发现文件夹名字，全变成EXE文件，如原有"照片"目录变为"照片.EXE"文件，使用cd命令，可正常进入文件夹；
6、回WIN2000,用最新版瑞星查杀，没有报毒；
7、右击染毒文件夹时，瑞星报有病毒文件，要求删除，删除后，发现文件夹也没有了，整个驱动器目录均被删除，但用瑞星查杀显示文件夹均在，看驱动器的容量，依然满的。但在"我的电脑"中看一个文件夹都没有了。
8、进入DOS，使用"dir",也没有任何文件显示，但使用"cd"命令，确可以进入原有目录，文件还在。
我不知道该如何处理了，请高手告诉我是什么病毒，该如何杀毒(其余几个驱动器我不敢动了，还有U盘），我的重要数据都在里面，如何恢复以上数据和我已被删除文件夹名的驱动器，跪谢！！

附件: 8470172007221150831.jpg

而且大家可以在图中看见左上角出现了一个没有名字的文件夹，这不是原来就有的，一定和病毒有关。

关闭QQ，浏览器什么的不必要的程序，然后扫描个日志发上来

我刚才由于用GHOST恢复系统时，前面的日志已经没有了，现在重扫还有用吗？

有用

扫描时间结束时间扫描方式病毒数量清除数量文件数
2007-02-21 12:46:452007-02-21 12:47:36手动扫描001236
2007-02-21 12:54:142007-02-21 13:31:17手动扫描0030975
2007-02-21 15:34:042007-02-21 15:35:45手动扫描001650

mizuki.ys168.com下载sreng2,关闭qq，下载软件等一切不必要的程序后扫个日志上来，一次贴不完分段贴，不要修改
大小写无关
是用  sreng2 扫描

code

==================================

应该没有什么问题，但是有 病毒残留下来的文件
右键=>打开进入E：和F：盘符 删除Autorun.inf  如果有fun.xls.exe也一并删除

如果看不到E：盘和F盘的  Autorun.inf  就按下面的做
开始=>运行=>regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
删除 CheckedValue 键值 然后单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1

最后把U盘的Autorun.inf 也删了

谢谢你的回应，但问题远不止你说的简单，病毒依然存在
1、E:盘的文件一个都看不见
2、f:盘和U盘的文件夹已成为病毒的出发点，我只要一双击立刻会发作
3、我在以上两盘中，看不见你说的两个文件，而且CheckedValue的键值就是为1
4、关键我前面说了，文件夹的名字已变成EXE文件
请再分析一下

参考http://forum.ikaka.com/topic.asp?board=28&artid=8216331

引用:

【biguyi的贴子】谢谢你的回应，但问题远不止你说的简单，病毒依然存在 1、E:盘的文件一个都看不见 2、f:盘和U盘的文件夹已成为病毒的出发点，我只要一双击立刻会发作 3、我在以上两盘中，看不见你说的两个文件，而且CheckedValue的键值就是为1 4、关键我前面说了，文件夹的名字已变成EXE文件 请再分析一下 ………………

可是我看不出你扫描的日志有什么问题

@echo off
title 专杀工具
color 9A
echo 专杀工具！
echo ------------------------
echo 如果你的光驱中有光盘请先弹出然后继续！
:n
echo 输入y开始杀毒，输入n退出！
:retry
set /p c=请输入您的选择（y/n）：
if "%c%"=="y" goto s
if "%c%"=="n" goto t
goto retry
:s
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
start reg DELETE
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /f
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg add
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
start reg import kill.reg
attrib c:\fun.xls.exe -h -r -a -s
attrib c:\autorun.* -h -r -a -s
del c:\autorun.* c:fun.xls.exe /f
attrib %SYSTEMROOT%\system32\fun.xls.exe -h -r -a -s
attrib %SYSTEMROOT%\system32\autorun.* -h -r -a -s
del %SYSTEMROOT%\system32\autorun.* %SYSTEMROOT%\system32\msime82.exe %SYSTEMROOT%\system32\algsrvs.exe %SYSTEMROOT%\system32\fun.xls.exe %SYSTEMROOT%\system32\msfun80.exe /f
del %temp%\~DF8785.tmp %temp%\~DFD1D6.tmp %temp%\~DFA4C3 %temp%\~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log /f
attrib d:\fun.xls.exe -h -r -a -s
attrib d:\autorun.* -h -r -a -s
del d:\autorun.* d:\fun.xls.exe /f
attrib e:\fun.xls.exe -h -r -a -s
attrib e:\autorun.* -h -r -a -s
del e:\autorun.* e:\fun.xls.exe /f
attrib f:\fun.xls.exe -h -r -a -s
attrib f:\autorun.* -h -r -a -s
del f:\autorun.* f:\fun.xls.exe /f
attrib g:\fun.xls.exe -h -r -a -s
attrib g:\autorun.* -h -r -a -s
del g:\autorun.* g:\fun.xls.exe /f
attrib h:\fun.xls.exe -h -r -a -s
attrib h:\autorun.* -h -r -a -s
del h:\autorun.* h:\fun.xls.exe /f
attrib i:\fun.xls.exe -h -r -a -s
attrib i:\autorun.* -h -r -a -s
del i:\autorun.* i:\fun.xls.exe /f
attrib j:\fun.xls.exe -h -r -a -s
attrib j:\autorun.* -h -r -a -s
del j:\autorun.* j:\fun.xls.exe /f
attrib k:\fun.xls.exe -h -r -a -s
attrib k:\autorun.* -h -r -a -s
del k:\autorun.* k:\fun.xls.exe /f
attrib l:\fun.xls.exe -h -r -a -s
attrib l:\autorun.* -h -r -a -s
del l:\autorun.* l:\fun.xls.exe /f
start explorer.exe
cls
if exist c:\autorun.reg echo 病毒没有清除！&&goto n
if exist c:\fun.xls.exe echo 病毒没有清除！&&goto n
echo 病毒已清除！！
set /p d=现在重新启动系统确定吗？（y/n）:
if "%d%"=="y" shutdown -r -t 0
exit
if "%d%"=="n"
echo 按任意键退出。
pause
exit
:t
echo 按任意键退出。
pause
exit



试下这个，把以上内容复制到文本文件，然后把后缀名该成BAT
比如KILLFULL.BAT

杀的时候把U盘也插上

...