瑞星卡卡安全论坛

今天不小心中了小浩病毒变种Worm.Win32.xiaohao.b不知如何清除,急呀!!!!!!!!!!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

下载 System Repair Engineer系统扫描工具软件直接保存到c:\windows\system32\文件夹内，下载地址如下：
http://www.kztechs.com/sreng/sreng928.zip
扫描和上传日志的方法：
1、解压缩所下载的sreng2.6.zip压缩包；
2、打开已经解压缩的SRENG文件夹，右键将SREngPTS.exe重命名为“我爱新郎.com”后双击运行；
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”，将日志保存到桌面上；
4、把日志扩展名改为.txt.然后以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。

谢谢!我立刻办!

附件是刚扫描的日志,请帮忙解决.谢谢!

附件: SREngLOG.txt

版主看到附件没有呀?

先运行扫描日志的工具 依次点“系统修复 －－　文件关联 －－　修复”然后按照以下步骤操作；

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

e:\xiaohao.com
c:\documents and settings\all users\「开始」菜单\程序\启动\word.com
c:\windows\temp\b.bat
c:\windows\system32\exloroe.com
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
c:\Xiaohao.com
d:\Xiaohao.com
e:\Xiaohao.com

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[virustrj]    <C:\WINDOWS\temp\b.bat>
[exloroe]    <C:\WINDOWS\system32\exloroe.com>

    启动项目 －－　启动文件夹之如下项删除：
[word]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\word.com>

    系统修复 －－　文件关联 －－　修复



然后下载冰刃在注册表中找到以下两项删除：（冰刃下载地址http://www.onlinedown.net/soft/53325.htm）
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System  DisableRegistryTools ；
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System  DisableTaskMgr  。

没记错的话  应该是有这两个。。

好的,我马上试一下,谢谢!

打开程序是要选择打开方式?

用winrar打开每个盘符

找到每个分区下面的
autorun.inf
Xiaohao.com

删除掉,重起下看看

建议你下载个u盘病毒专杀搞下

每个分区下面的autorun.inf
Xiaohao.com都删掉了!在开始里程序不可用.

程序阿哦

可能被破坏了
去修复或者卸载了重新装

估计是破坏了，难道说是类似熊猫的DD？
呵呵，技术差，不怎么清楚了

刚开始还以为是盘符打不开呢

这是我刚扫描的报告发给各位高手看看,帮忙解决.谢谢!

附件: SREngLOG.txt

在扫日志的SRENG工具》系统修复》文件关联》修复文件关联

其他看不出什么了。

有两个错误修复不了，当前值为E:\xiaohao.com"%"%*,所以程序启动不了,不知如何是好.

扫日志的SRENG工具修复不了文件关联？？？？？？？？

操作有没错误？？？

没有呀,修复后还是两个打勾的,显示错误,急呀,要重装系统太麻烦了,有办法吗?谢谢!

扫日志的SRENG下载后要将.EXE改为.COM后才能运行,

那你这样
可能你的杀毒软件的监控阻止了这个项目的修复

你关闭杀毒软件的监控，再试

一般来说就是这样的了。

瑞星启动不了,监控没打开呀!

那再扫日志来看。

请看看你的[HKEY_CLASSES_ROOT\.exe]<( 默认)>这个值项的值是否是字符串"exefile"

实在不行，可以这里去看看

实际上百度真是好东西

:default6:

http://www.pconline.com.cn/pcedu/teach/ex/sys/0403/333921.html

感谢提醒，实在想不起来了:default3:

好的,我一个一个试一下,谢谢!

我按照http://www.pconline.com.cn/pcedu/teach/ex/sys/0403/333921.html 上面的方法,但是字符串E:\xiaohao.com"%1"%*改不过来呀,急死人了!

下载附件  解压后将俩注册表导入
看看问题能否解决....
还有  第一你要确保上面要你删除的那些文件已经正确删除了...

附件: 修复.rar

默认值是exefile,还有一个Content Type值为application/x-msdownload
.exe下面还有个文件夹Persistent Handle 值为{098f2470-bae0-11cd-b579-08002b30bfeb}
搞不懂是咋回事？

修复exe文件关联.reg不能导入呀!

下载冰刃,在注册表中找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将右边框里的默认值右键编辑为  "%1" %*        确定后退出


那还有个双击分区变打开方式解决了没?

已经用冰刃将上述项改了,双击分区能打开,就是程序不能运行,一双击瑞星就出现打开方式,