瑞星卡卡安全论坛

有个名称叫TXOMOU.EXE的文件不停的出来，没一会功夫就什么也不能干了，最新的瑞星杀毒也杀除不了，救救我的电脑吧，痛苦中

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

扫SRENG日志发来
http://download.kztechs.com/files/sreng2.zip
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把报告保存后以附件的形式发上来，把日志文件的扩展名“.log”改成“.txt”就可以发来了。
  或者直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以发来了。

如果你那系统是XP系统，在那玩意出来导致你还不能扫日志，可以这样：
将下面英文部分复制到一个空记事本里，然后另存为  456.reg 
然后双击这个  456.reg  选择同意导入注册表，然后重启电脑，它就不再运行了。
————————————————————————————————————————————

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TXOMOU.exe]
"Debugger"="DisabledRun"



————————————————————————————————————————————
横线不要复制


严重不好意思

弄错了，今天才注意到，上班时一不注意，弄错了，汗一下。

误了二千多看贴的。

我扫描了，怎么加附件啊？
会发了，呵呵

附件: 99604920071225221658.txt

怎么这么多带驱动病毒啊

我的也是,我用360卫士杀了以后再查是没查出病毒,用瑞星也查不出病毒,不过CPU总是100%,而且那个进程监控也开启不了.我感觉没杀干净,我把它传上来,高手救救啊,我都烦死拉.
为什么总是上传的文件错误呢?

附件: 99617320071226104355.txt

拜托LS的各位……
有问题请重新开帖问，不要都挤在这个帖子里，这样会影响这个帖子的处理……

附件: 99622520071226130222.txt

高手快来啊，我在忍受折磨啊……

是跟REG.exe，AUTORUN.INF一起出现的，同时感染HTM文件。
进入安全模式，解除管理器锁定，删除干净后，打开我的电脑，
在驱动器盘符上按右键，此时看打开后面的字母，
是大写字母O的杀掉了，
是小写字母o的是没有杀掉。
总有盘符是小写的，
用正版瑞星和卡卡都没有用。

这是网上的方法,你试下吧,把下面的内容复制到记事本,另存为MM.bat

从下面开始:

@echo off
title 忆林子
color 0a
echo.
echo                                    该病毒资料
echo    瑞星将该病毒定义为：Worm.Win32.DownLoad.b
echo.
echo    该病毒建立的包括的源文件如下:
echo.
echo    病毒文件全路径                      大小(字节)
echo    c:autorun.inf                      159
echo    c:sos.exe                          26,624
echo    c:WINDOWSsystem32Autorun.inf    159
echo    c:WINDOWSsystem32Systom.exe      26,624
echo    其它所有分区:autorun.inf          159
echo    其它所有分区:sos.exe              26,624
echo.
echo    autorun.inf文件里的内容
echo.
echo      [AutoRun]
echo.
echo      open=sos.exe
echo      shellopen=打开(^&O)
echo      shellopenCommand=sos.exe
echo      shellopenDefault=1
echo      shellexplore=资源管理器(^&X)
echo      shellexploreCommand=sos.EXE
echo.
echo  该病毒的后果:
echo  你的杀毒软件会无法打开,另外你的系统时间会被修改成2000年,无法显示隐藏文件
echo  另外，该病毒会把注册表项删除，导致你进入安全模式就蓝屏。
echo  可能还有其它的情况,我这里就不详细说明了.
echo.
ECHO  注意：该病毒会将你的系统时间修改为2000年，而这个杀毒程序的会将你的时间
echo  修改为2007年，你如果是在2007年使用这个的话，系统时间就不用修改了，否则
echo  杀毒后请自己重新设置系统时间。
echo.

echo.
set /p tmp=以上是该病毒的信息，如果要清除该病毒，请回车键开始杀毒...

rem 结束病毒进程
for %%d in (sos.exe,Systom.exe,reg.exe,iexplore.exe) do (
  taskkill /im %%d /f
  cls
)

rem 把时间改成2007年
FOR /F "eol=; tokens=1,2,3 delims=- " %%i in ('date /t') do (
  date 2007-%%j-%%k
)

rem 去除病毒源文件的 系统、隐藏、只读 属性,然后删除它们。
for %%d in (Autorun.inf,Systom.exe) do if exist "%systemroot%system32%%d" (
  attrib -s -h -r "%systemroot%system32%%d"
  del "%systemroot%system32%%d" /q
)
rem 添加进入安全模式的注册表项
reg add "HKLMSYSTEMControlSet001ControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet001ControlSafeBootNetwork" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootNetwork" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootNetwork" /ve /d DiskDrive /f
cls


rem 解除对任务管理器的禁用
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"
/v DisableTaskMgr /f

rem 解除禁用Windows更新程序
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate"
/v DisableWindowsUpdateAccess /f

rem 添加显示隐藏文件的注册表项
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN"
/v Text /d "@shell32.dll,-30501" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/v CheckedValue /t reg_dword /d 1 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/v DefaultValue /t reg_dword /d 2 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/v HelpID /d "shell.hlp#51105" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/v HKeyRoot /t reg_dword /d 2147483649 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/v RegPath /d "SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/v Text /d "@shell32.dll,-30500" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/v Type /d "radio" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"
/v ValueName /d "Hidden" /f

reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v Hidden /d 1 /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v HideFileExt /d 0 /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v ShowSuperHidden
/d 1 /f

rem 删除病毒添加的启动项
for %%f in (crsss) do (
  reg delete "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v %%f /f
)

rem 删除其它盘根目录下的病毒文件
for %%f in (autorun.inf,sos.exe) do (
  for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
    if exist %%d:%%f (
      attrib -s -h -r %%d:%%f
      del %%d:%%f /q
    )
  )
)

rem 删除病毒在注册表中添加的关联
if exist test.忆林子 del test.忆林子
reg query "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options">
test.忆林子
for /f "tokens=* delims= skip=4" %%j in (test.忆林子) do (
    reg delete "%%j" /v debugger /f
    cls
    if exist test.忆林子 del test.忆林子

    echo.
    echo      正在清除由病毒添加的注册表项,请稍候...
    echo.

)
if exist test.忆林子 del test.忆林子
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution
OptionsYour Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls

color a0

echo.
echo      病毒清除完毕，按回车键开始解决分区无法双击打开的问题.
echo.

set /p test=
cls
@echo  off
title 忆林子--解决分区无法打开
color a0
rem 删除引起磁盘无法双击打开的autorun.inf文件
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:autorun.inf (
  cacls %%i:autorun.inf /c /e /p everyone:f
  attrib -s -h -r %%i:autorun.inf
  del %%i:autorun.inf /q
)
rem 进行磁盘检查，恢复双击打开功能
for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
cls
color ec

echo.
echo                操作结束,按回车键退出该程序...
echo.

set /p temp=
:exit
exit

楼上的是什么。

用sos.exe专杀工具
注意，硬盘格式要转成NTFS


附件: 8321652007122700234.zip

接楼上
用sos专杀扫描，合并usbkiller使用，多扫描几遍，最后用360再扫一遍木马就能彻底解决。
调出任务管理器，结束reg.exe进程，有很多，要有耐心。

附件: 8321652007122700927.rar

**注意：操作期间切勿双击分区盘符，应使用资源管理器浏览各分区**

1，用SRE修复以下：
删除服务
[ClipBooks / ClipBooks]
[issllyday / issllyday]

2，用XDelBox软件以抑制再生方式删除以下文件：
删除文件
C:\WINDOWS\system32\TxoMoU.Exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\spoolsr.exe
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
h:\autorun.inf
i:\autorun.inf
j:\autorun.inf
k:\autorun.inf
c:\soS.Exe
d:\soS.Exe
e:\soS.Exe
f:\soS.Exe
h:\soS.Exe
i:\soS.Exe
j:\soS.Exe
k:\soS.Exe

3，重起删除后用SRE修复一下：
删除注册表
<crsss>
<IFEO[TXOMOU.EXE.exe]>

4，更新杀毒软件至最新，进行全盘杀毒