瑞星卡卡安全论坛

是U盘带来的，
每个分区下都有1个Autorun.inf文件，一个SOLA文件包，文件包里有5个文件，分别是Autorun.inf，sleep.exe , SOLA.BAT ,Tasks.xxx  ,宅男请进.rar .
用瑞星，江民，安全卫士360U盘病毒专杀，auto病毒专杀都杀不了，手动删除，马上又会出现，在进程里，sleep.exe不断闪动，
请问如何杀掉这个病毒，求助。

我已经打包在附件

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)


附件: 10309162008326170136.rar

将文件打包上传上来

我已打包上传了

扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip（建议解压到系统Windows文件夹里）
2 运行SREng.exe  ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。

引用:

【天月来了的贴子】扫SRENG日志发论坛来 下载System Repair Engineer 1 解压缩sreng2.zip（建议解压到系统Windows文件夹里） 2 运行SREng.exe  ((将SREng.exe改名为123.com运行)) 3 智能扫描=》扫描=》保存报告 4 把报告保存后，直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式发论坛来了。 一定以附件形式发这论坛来。 点击我这贴右下角的“引用”然后就应该知道怎么发了。 ………………

附件: 10309162008326184059.txt

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\Autorun.inf
C:\SOLA\Autorun.inf
C:\SOLA\sleep.exe
C:\SOLA\SOLA.BAT
C:\SOLA\Tasks.xxx
C:\SOLA\宅男请进.RAR
D:\Autorun.inf
D:\SOLA\Autorun.inf
D:\SOLA\sleep.exe
D:\SOLA\SOLA.BAT
D:\SOLA\Tasks.xxx
D:\SOLA\宅男请进.RAR
E:\Autorun.inf
E:\SOLA\Autorun.inf
E:\SOLA\sleep.exe
E:\SOLA\SOLA.BAT
E:\SOLA\Tasks.xxx
E:\SOLA\宅男请进.RAR
F:\Autorun.inf
F:\SOLA\Autorun.inf
E:\SOLA\sleep.exe
E:\SOLA\SOLA.BAT
E:\SOLA\Tasks.xxx
E:\SOLA\宅男请进.RAR
G:\Autorun.inf
G:\SOLA\Autorun.inf
E:\SOLA\sleep.exe
E:\SOLA\SOLA.BAT
E:\SOLA\Tasks.xxx
E:\SOLA\宅男请进.RAR

看到这个想起了 原来的反U盘病毒的病毒

可这个更烦

引用:

【天月来了的贴子】这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。 删除： C:\Autorun.inf C:\SOLA\Autorun.inf C:\SOLA\sleep.exe C:\SOLA\SOLA.BAT C:\SOLA\Tasks.xxx C:\SOLA\宅男请进.RAR D:\Autorun.inf D:\SOLA\Autorun.inf D:\SOLA\sleep.exe D:\SOLA\SOLA.BAT D:\SOLA\Tasks.xxx D:\SOLA\宅男请进.RAR E:\Autorun.inf E:\SOLA\Autorun.inf E:\SOLA\sleep.exe E:\SOLA\SOLA.BAT E:\SOLA\Tasks.xxx E:\SOLA\宅男请进.RAR F:\Autorun.inf F:\SOLA\Autorun.inf E:\SOLA\sleep.exe E:\SOLA\SOLA.BAT E:\SOLA\Tasks.xxx E:\SOLA\宅男请进.RAR G:\Autorun.inf G:\SOLA\Autorun.inf E:\SOLA\sleep.exe E:\SOLA\SOLA.BAT E:\SOLA\Tasks.xxx E:\SOLA\宅男请进.RAR ………………

附件: 10309162008326203750.jpg

你操作完，再去计划任务那里，看看有什么。有不明的就删除。

引用:

【天月来了的贴子】你操作完，再去计划任务那里，看看有什么。有不明的就删除。 ………………

按照你说的，删出以后，所有文件就变成了这样的文件包，根目录下那个Autorun.inf也变成文件包，删它以后，里面又多一个Autorun.inf文本，再删，现在就是C:\Autorun.inf\Autorun.inf都是文件包的形式。
每个分区一样，如何全面搞定它？
先谢谢了，
还有，我看进程里有个sleep.exe，一直在上下移动，可是不能结束这个进程，不知道和这个病毒有没有关系。


我又试着用WINRAR来删除这些文件包，结果删完以后，再看，全部又变成最早没删的那个样子了，
我今天下午也试过，格了C盘，其他区没动，装完系统我就去删其他分区的那些东西，结果还是中了。

附件: 10309162008326211019.jpg

这么顽固，看看

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：Autorun.inf
    不是病毒

    2.文件名：Autorun.inf
    不是病毒

    3.文件名：sleep.exe
    不是病毒

    4.文件名：SOLA.BAT
    不是病毒

    5.文件名：Tasks.xxx
    不是病毒

    6.文件名：问题1.rar
    不是病毒

    7.文件名：问题2.rar
    不是病毒

    8.文件名：问题3.rar
    不是病毒

    9.文件名：问题4.rar
    不是病毒
这是瑞星的回复，说不是病毒，我晕了，不是病毒，怎么会这样？
我是在硬盘分区无意看到这个SOLA文件包的，然后打开看过“宅男请进.RAR”这个包，估计这样感染了整个系统的。

你还继续5楼的操作一遍，暂时不删各盘的抑制文件夹。

然后全机搜索，搜索到的，不明就删除。都用费尔木马强力清除助手,勾选“抑制文件再生”删除。

SOLA.BAT
Autorun.inf
宅男请进.RAR
Tasks.xxx
sleep.exe
task.txt
Tasks.job
SOLA.VBS
est_type2032.fon

非常感谢，搜索了2个SOLA.BAT和1个sleep.exe，勾选“抑制文件再生”删除后，硬盘分区打不开了，重起，可以了，再删掉各盘的抑制文件夹，再重起，已经干净了，在进程里也没有sleep.exe上下移动了。双击硬盘分区也没有要停顿1－2秒的问题了。

要杀当然可以,但前提是你是一个OTAKU.
打开 宅男请进.RAR,里面有几个ACG方面的问题,另外还有几个加密了的压缩文件,里面装了SOLA病毒的专杀.问题的答案就是解压密码.
你只要回答起了问题,就可以打开专杀来杀除SOLA
要问我为什么知道,那是因为我就是SOLA的作者
10月1日会发作,答不出来问题也就无法解毒,嘿嘿,等死吧.

的确是病毒，不过水平不咋的,而且人品还有点烂，取消隐藏文件后
查找下列文件并删除
solasetup
SOLA.BAT
Tasks.job
sola.vbs

引用:

【cccaaa的贴子】的确是病毒，不过水平不咋的,而且人品还有点烂， ………………

呵呵，也是。
现在AUTORUN.INF是老鼠过街，人人喊打。
AUTO病毒已经几乎无法生存了。
不过..SOLA2.0锐意制作中。
SOLA2会有更加精彩的发作画面，也会有更广泛的传播途径（自创：TXT包裹传播）
当然，目的是ANTI广电总局（吹牛而已）。
敬请期待。
顺便说一句，楼上用的肯定是WINDOWS2000，要不然就是某个服务被禁用了，否则SOLA不会生成SOLA.VBS，而会通过另外的方式启动。

PS:吐槽一下，瑞星是怎么搞的？我看那些文件上报的公司回复也就是拿瑞星扫描了一遍的结果啊。如果你公司的瑞星扫描得出来，人家家里的瑞星就扫描不出来吗？你软件的特征库里又没有新病毒的代码，你理应对文件进行分析才是，没想到你就这样糊弄顾客啊？

附上本人亲身经历，绝对真实，希望和大家交流杀毒经验。
08-4-5日感染病毒日记
感染了sleep.exe病毒。该病毒由U盘传播。
症状：1、打开任务管理器，进程中不断闪烁sleep.exe.
      2、CPU会在10%-30%之间幅度，病毒进程长期占用一定的CPU资源。
解决方法：
1、进入安全模式
2、双击“我的电脑”
3、在工具中选择文件夹选项
4、选择查看选项卡。
5、在高级设置中去掉“隐藏受保护的操作系统文件（推荐）”以及“隐藏已知文件类型的扩展名”这两行前面的勾。同时，在隐藏文件和文件夹的次级目录中将原来的“不显示隐藏的文件和文件夹”改选为“显示所有文件和文件夹”。
6、查看各个硬盘分区，在根目录下应该能找到名字叫SOLA的隐藏文件夹。将其彻底删除（我采用的是shift+delete）。
7、删除完各个硬盘分区的SOLA文件夹后别急着退出安全模式，回到我的电脑的根目录，点击搜索，然后选择“所有文件和文件夹”，在“全部或部分文件名”填选框中输入“SOLA.*”,同时寻找范围选择我的电脑或全部磁盘。这样，经过1-3分钟的全盘扫描，将会把这个病毒的所有痕迹搜索出来，搜索完后，彻底删除搜出的所有文件。然后退出安全模式。
8、正常启动后，打开任务管理器，进程中应该没有sleep.exe了。然后将上述第5点中所说的改动逆向改回。消除那些显示出来的隐藏文件。大功告成，成功清除SOLA  sleep病毒。
9、清除病毒后，如果出现某个或某几个硬盘分区“双击无法正常打开，报错：iexplorer脚本出错”时，可以参见这个修复方法：
开始-运行窗口，输入“regsvr32 actxprxy.dll”回车，接着会出现一个信息对话 框“DllRegisterServer in actxprxy.dll succeeded”，确定。再依次运行以下命令。
regsvr32 shdocvw.dll
regsvr32 oleaut32.dll
regsvr32 actxprxy.dll
regsvr32 mshtml.dll
regsvr32 msjava.dll
regsvr32 browseui.dll
regsvr32 urlmon.dll
重启，即可。

病毒作者自己的清除bat
@echo off
set sola=%systemroot%\Fonts
set setup=%systemroot%\Fonts\solasetup
if not exist %sola%\SOLA.BAT set nobd=1&goto QT
color 2f
echo 正在清除WINDOWS系统中的SOLA病毒，请稍候...
del %sola%\SOLA.BAT
rd /s /q %setup%
attrib %systemroot%\Tasks\Tasks.job -s -h -r
del %systemroot%\Tasks\Tasks.job
%homedrive%
cd "%ALLUSERSPROFILE%"
cd 「开始」菜单\程序\启动
if exist sola.vbs del sola.vbs
echo WINDOWS系统中的SOLA病毒已经清除完毕，按任意键查杀潜藏在其他盘中的SOLA病毒。（如果要同时清理U盘中的病毒请插入U盘。）
goto QT2
:QT
color 2f
echo 您的系统中没有SOLA病毒。按任意键查杀潜藏在其他盘中的SOLA病毒。（如果要同时清理U盘中的病毒请插入U盘。）

怎样就会感染这个病毒啊？我想试试o(∩_∩)o...

20楼的达人啊，我是不辞千辛万苦，先注册，再从旧论坛追到这里，再从帖子里把这个帖子所搜出来，来表示谢意的。太牛啦，一下午没解决的问题，一下就搞定了～～:default6: 再次感谢:default6:

对了，kakenhi，你的“目的是ANTI广电总局”，你NB就直接去搞总局好了，编写这么个玩意害得我们广大菜鸟好痛苦啊，鄙视下。:default2:

我碰到了这个病毒，清除方法在
http://hi.baidu.com/spirit_room/blog/item/37432fcafd719943f31fe715.html
不知道能不能解决问题。
貌似这个病毒现在的变种很多，但万变不离其宗。

我也中了SOLA病毒，但我发现我中毒的版本和大家讨论的不一样，我用了他自己的杀毒程序，仍然无法清除病毒，贴出FUNCTION.DLL解压后的文件出来，肯定大大们帮助