瑞星卡卡安全论坛
vague2008 - 2008-1-22 16:36:00
病毒特征:所有盘符根目录下的文件都变成44K大小的EXE文件,文件夹很难看的样子(不是熊猫)。根目录下的子目录文件夹不受影响。
找来江民的杀毒软件,就把所有文件夹都当成病毒,直接删除掉,还不敢查杀,真着急阿。在线等
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
千寻旅 - 2008-1-22 16:40:00
使用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:http://kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩sreng2.zip;
2、运行SREngPS.EXE,如果运行不了,改名为1234.com再运行
3、依次点击【智能扫描】-【扫描】;
4、耐心等待,扫描结束后点击【保存报告】;
5、选择保存路径,文件名保持默认,直接点击【保存】;
6、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”中;
7、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。
vague2008 - 2008-1-22 16:42:00
再补充一下,按CTRL+ALT+DEL进程打不开,想查下进程都查不了,运行REGEDIT,注册表打不开。
vague2008 - 2008-1-22 16:58:00
从做系统已经不管用了,病毒感染所有盘符。要知道病毒名直接就找专杀工具了。我按1-6步做一下
vague2008 - 2008-1-24 18:05:00
vague2008 - 2008-1-24 18:09:00
vague2008 - 2008-1-24 18:09:00
谁能给个答复啊,在线等。。。。。
豪斯登堡新郎 - 2008-1-24 18:16:00
***注意:操作期间切勿双击分区盘符,应使用资源管理器(或WinRAR)或者右键打开以浏览各分区***
1,用XDelBox软件以抑制再生方式删除以下文件:
删除文件
E:\md.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\system32\22050CA8.EXE
C:\WINDOWS\system32\11DF6674.DLL
C:\WINDOWS\RichDll.dll
C:\PROGRAM FILES\EXPLORER.EXE
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
c:\fun.xls.exe
d:\fun.xls.exe
e:\fun.xls.exe
f:\fun.xls.exe
2,重起删除文件后用SRE修复以下:
删除注册表
<FolderRaper>
<load>
删除服务
[9B0B56CE / 9B0B56CE]
3,更新杀毒软件至最新,进行全盘杀毒
有毒必问 - 2008-1-24 18:17:00
在安全模式下
先用个工具禁止服务或者K掉启动
[9B0B56CE / 9B0B56CE][Stopped/Auto Start]
<C:\WINDOWS\system32\22050CA8.EXE -k><Microsoft Corporation>
下载XDELBOX删除
E:\md.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\system32\22050CA8.EXE
C:\WINDOWS\system32\11DF6674.DLL
fun.xls.exe
C:\Autorun.inf
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
C:\PROGRAM FILES\EXPLORER.EXE(一般不会在这里)
豪斯登堡新郎 - 2008-1-24 18:18:00
如果你在扫描完这份报告后有双击过分区盘符的话,建议你再重新扫描一份日志传上来
豪斯登堡新郎 - 2008-1-24 18:18:00
如果你在扫描完这份报告后有双击过分区盘符的话,建议你再重新扫描一份日志传上来
vague2008 - 2008-1-24 18:27:00
E:\md.exe,是在扫描前打开的一个文件,实际上所有盘符下的文件都变成了*.exe文件,并且这些文件夹下的子目录都是很重要的资料(文件大小正常,未受感染)
我在扫描完这份报告后有双击过分区盘符的话,直接点击【保存】
,存盘上传的
vague2008 - 2008-1-24 18:31:00
我觉得楼上说的肯定是不管用的,再次重申一便,病毒感染了所有的盘符,刚做的系统,马上就被重新感染上,属于交叉感染的,光处理系统盘有什么用
vague2008 - 2008-1-24 18:37:00
再次把问题重申一遍,我不能用杀毒软件,它会把所有被感染的文件夹(变成44K的EXE文件)当做病毒文件删除,而那些文件有重要数据。非常类似熊猫,但又没有熊猫图标的标志。
我在扫描完这份报告后没有双击过分区盘符的,直接点击【保存】
,存盘上传的
豪斯登堡新郎 - 2008-1-24 18:45:00
你没看见你的各个分区下都有autorun.inf 和fun.xls.exe
双击分区盘符的话就自动运行了 所以已经提醒你操作期间切勿双击分区盘符 至于其他分区被感染的文件 只能待病毒在系统盘下创建的各个问题解决后用杀毒软件进行清理
vague2008 - 2008-1-24 18:56:00
但有个问题,病毒非常绝,点盘符或文件夹右键的话,会发现两个“打开”,一个AUTO,点哪个呢
vague2008 - 2008-1-24 19:02:00
14楼我明白的意思,我重做了系统实际不就是解决了病毒在系统盘下创建的各个问题吗?问题是病毒根本不用我双击任何盘符(也就是说刚做好系统后没有做任何操作),病毒自动马上会查遍所有盘符,加以感染。
豪斯登堡新郎 - 2008-1-24 19:06:00
你其他分区文件已经被感染了 所以现在最好都别动其他分区的任何被感染文件 照着报告上的解决方法做了以后用杀毒软件进行全盘扫描 最好多试几中杀软
豪斯登堡新郎 - 2008-1-24 19:06:00
当然点打开
vague2008 - 2008-1-24 19:07:00
而且,我不能在处理完系统盘后,更新杀毒软件至最新,进行全盘杀毒。杀毒软件会把所有有用的被感染的资料(已变成了EXE文件,貌似加了一个EXE的壳,里头却是好的),统统删除,这点是不能忍受的。我已经用卡巴和江名试过了。
vague2008 - 2008-1-24 19:09:00
有两个“打开”,如果按“豪斯登堡新郎”说的我还不如把所有的盘全革一遍,再重做系统呢
豪斯登堡新郎 - 2008-1-24 19:10:00
留着? 运行了就又感染了,还留着干吗?
豪斯登堡新郎 - 2008-1-24 19:12:00
这确实是个最快最使用的方法……
vague2008 - 2008-1-24 19:15:00
看来跟没问一样,数据资料很重要啊!!!!系统和资料要兼得啊!!
vague2008 - 2008-1-24 19:21:00
我发现该病毒只感染根目录下的文件夹,子目录都不受影响,不感染
压缩文件,文档文件
豪斯登堡新郎 - 2008-1-24 19:31:00
记的在哪个blog上看见有人介绍过可以恢复 不过很麻烦 你可以去找找
baohe - 2008-1-24 19:54:00
| 引用: |
【vague2008的贴子】扫描报告如下:
……………… |
C:\WINDOWS\uninstall\rundl132.exe
别的,不用看了。
就这个“威金”(C:\WINDOWS\uninstall\rundl132.exe)就够你喝一壶了。这DD狂感染文件。胃口很好噢!
全盘查杀吧。
天月来了 - 2008-1-24 20:16:00
楼主一直在描述说:“有用的被感染的资料已变成了EXE文件,貌似加了一个EXE的壳,里头却是好的”
什么叫里头却是好的????说具体点。“文件”还是“文件夹”????
剑侠客景瑞 - 2008-1-24 20:33:00
换一个杀毒软件试试。比如金山杀毒2008,卡巴斯基7.0,......我也是这样over病毒的。
vague2008 - 2008-1-25 17:25:00
26楼说的对,我也怀疑是“威金”,刚插上的U盘,马上就把里头的文件夹变成44K大小的EXE文件,找VIKING专杀可是不关用的。现在需要的不是杀,是如何保留住所有盘符下被感染数据文件夹。如果不保留数据,只是为了解决系统问题,那是很好办的。
回复27楼:里头的文件和文件夹都是好的(文件大小没变)。
© 2000 - 2026 Rising Corp. Ltd.