瑞星卡卡安全论坛
毛师兄11 - 2008-4-12 10:36:00
服务器上有个文件中了熊猫烧香,这个文件是不能删除的,请问下有没有什么办法干掉熊猫烧香啊..
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)附件:
7968972008412161556.jpg
沂縁 - 2008-4-12 11:00:00
清除病毒后 还会在出现是吗
毛师兄11 - 2008-4-12 11:07:00
是的,在服务器上瑞星发现后,点清除病毒,过一会儿再去点打开那个文件夹还是会出现发生病毒,
因为不能删除这个文件就没有点瑞星和卡巴上的删除文件项..
天月来了 - 2008-4-12 11:12:00
哪个文件???
文件大不大???
是否是系统里还有病毒再次感染那里???
具体路径???
毛师兄11 - 2008-4-12 11:13:00
就是卡巴里面的倒数第三个,文件不是很大的,
lqqk7 - 2008-4-12 14:41:00
到服务器上把杀毒软件升级到最新版,方便的话最好断网,全盘杀毒。
看截图似乎是用本机的卡巴查到服务器上的共享文件夹里有毒,怀疑服务器已经染毒。
毛师兄11 - 2008-4-12 14:46:00
是啊,就是服务器上的文件中毒了,可是这个文件又不能删的,删了就麻烦了..有几个文件一删过半分钟马上又有了,很像以前的AUTORUN之类的.
lqqk7 - 2008-4-12 15:03:00
你还是没明白我的意思,服务器已经染毒了,病毒在运行中会保护此文件不被删除,或者这个共享文件夹本身就没有删除权限,同时除了这个共享文件夹外,服务器上其他未被共享的.exe文件可能也已经染毒,所以你在本地查杀一个共享文件夹没什么实际意义。
毛师兄11 - 2008-4-12 15:05:00
您的意思是在服务器上安全模式下面杀毒?
我上传了一个附件,就是这个病毒的主要文件,请您看一下,谢谢了..
天月来了 - 2008-4-12 15:20:00
| 引用: |
【毛师兄11的贴子】您的意思是在服务器上安全模式下面杀毒?
我上传了一个附件,就是这个病毒的主要文件,请您看一下,谢谢了..
……………… |
服务器上的毒,你必须在服务器上启动杀毒软件清除了。
用网内另一台电脑是不可能杀掉服务器上的病毒的。
咖啡还真行-------------------------
附件:
8390772008412150842.jpg
毛师兄11 - 2008-4-12 15:30:00
呵呵,咖啡是很不错!.
lqqk7 - 2008-4-12 15:31:00
对,在服务器上杀毒!
文件我看了,win.bat,win.vbe,autorun.inf这三个文件应该是“反U盘病毒”,清除方法:打开任务管理器,进程,右键点cmd.exe,结束进程树。(不是结束进程,是结束进程树)
然后删除每个分区下的,win.bat,win.vbe,autorun.inf,***.sk
(***指的是时间,如2008-04-12)
删除文件的时候注意,绝对不要双击打开任何盘符,右键单击打开也不行,可以从开始-运行里直接输入c:打开c盘,或者用winrar去删除。
然后再删除c:\windows目录下的win.bat,win.vbe,sleep.vbe,U盘病毒分析Beta3.exe
最后打开注册表编辑器,删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的[vbe]键值。
另外你上传的gamesetup.exe似乎已经损坏,运行后没任何效果。
毛师兄11 - 2008-4-12 15:41:00
可能是已经被卡巴干掉了..我去试一下,谢谢了各位了.
毛师兄11 - 2008-4-12 16:09:00
没有CMD.EXE这个进程啊,难道要自己在开始运行里输入?
lqqk7 - 2008-4-12 16:11:00
有没有wscript.exe
毛师兄11 - 2008-4-12 16:15:00
再请看一下附件,,删子以后马上又有了..
lqqk7 - 2008-4-12 16:17:00
截图里只有e:\bak有,其他的都是回收站啊
天月来了 - 2008-4-12 16:27:00
只是E:\bak文件夹里有,其他都是在回收站里,清空回收站去。
毛师兄11 - 2008-4-12 16:27:00
哦,那些都是回收站啊,哈哈...
有的哦,wscript.exe,有呢.请看附件..
lqqk7 - 2008-4-12 16:36:00
没让你删除wscript.exe啊.......
这是系统正常文件
只是让你结束这个进程,不要删除这个文件
毛师兄11 - 2008-4-12 16:40:00
结束WSCRIPT.EXE这个进程式吗?
毛师兄11 - 2008-4-12 16:40:00
好像没有这个进程啊.
lqqk7 - 2008-4-12 16:41:00
如果有WSCRIPT.EXE进程的话,把它结束掉,然后去删除11楼让你删的那些文件,如果没有这个进程,直接去删除11楼让你删的那些文件
毛师兄11 - 2008-4-12 16:43:00
删了之后马上又有了..我再去删了,谢谢了..
毛师兄11 - 2008-4-12 16:49:00
还是那样,用WINRAR打开文件夹,删除之后马上又有了.
唉,郁闷了.
天月来了 - 2008-4-12 16:52:00
你到底删除哪个文件,它又有了
我看迷糊了
还有你再发附件,就点我这贴的右下角的“引用”就可以发附件了。
不要总发顶楼去
你发那,以前的什么东西,我又忘记了。
汗
你是不是说的AVP.exe这个啊???
如果真是这毒,你只能等杀毒软件能彻底清除它的感染再说了。
毛师兄11 - 2008-4-12 16:56:00
| 引用: |
【天月来了的贴子】你到底删除哪个文件,它又有了
我看迷糊了
还有你再发附件,就点我这贴的右下角的“引用”就可以发附件了。
不要总发顶楼去
你发那,以前的什么东西,我又忘记了。
汗
……………… |
附件:
7968972008412164431.rar
毛师兄11 - 2008-4-12 16:57:00
是WIN.BAT和WIN.VBE,删了之后马上就有了.
autorun.inf也是一样的.
天月来了 - 2008-4-12 17:01:00
你是说服务器上???还是你在另一电脑看服务器上???
你现在是在服务器上操作的吗????
还有咖啡都杀了,你服务器上的杀毒软件没反映????
去服务器上:
扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html下载System Repair Engineer
1 解压缩sreng2.zip(建议解压到系统Windows文件夹里)
2 运行SREng.exe ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志内容彻底复制到一个空记事本里,然后再保存,就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。
你可以打开日志后,在左上角的“编辑”里选择“全选”再选择“复制”
就可以彻底复制日志内容到另一个空记事本保存了
lqqk7 - 2008-4-12 17:04:00
WIN.BAT和WIN.VBE是在服务器上和是在哪台电脑上的...?
如果没有cmd.exe和wscript.exe进程,你也没有双击打开盘符,它不会自己生成的。
© 2000 - 2026 Rising Corp. Ltd.