求助：我的硬盘每个盘符都有\"音乐.exe\" bbs.ikaka.com

kuroboo - 2008-5-31 7:53:00

我的电脑中毒了，是被别人的U盘感染的，然后进一步毁了我自己的盘…

我觉得应该是一个新的病毒，极易中毒，只要U盘插上去，不管使用哪一种方法打开都一样，资源管理器也是…主流杀毒软件都检测不出来有毒，而且病毒还会会破坏杀毒软件…

我电脑的主要症状有：

1、每一个硬盘盘符下都出现了“音乐.exe”，如果原来有名为“音乐”的文件夹则变成了隐藏文件

2、进程管理器显示“被管理员停用”

3、控制面板里“显示所有文件”选项失效，隐藏文件无法显示

4、首页被篡改为www.cnxhack.com，每次开机自动打开。同时IE最顶上（不知道叫什么…汗）出现“西盟网络-中国最大网络安全门户”的宣传字样（本人觉得这一点特别讽刺），顺便说一句，我用的是IE7

5、杀毒软件失效

6、系统经常出现error，显示某某进程指向的“000000xx”内存不能为“read”什么的，然后自动跳出正在运行的程序

7、暴风影音无法使用，只好重下，不过尚不确定是不是因为这个…

其他的症状暂时没有发现…

安全模式下杀毒也没用，只要重启就有出现了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Embedded Web Browser from: http://bsalsa.com/; MAXTHON 2.0)

天月来了 - 2008-5-31 8:20:00

扫SRENG日志发这论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 下载的是压缩包，必须解压缩（建议解压到系统Windows文件夹里）
2 运行SREng***.EXE ((将SREng***.EXE改名为123.com运行))
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

kuroboo - 2008-5-31 10:10:00

先谢谢了！！这个病毒主要是通过可移动存储设备来传播的，我的U盘和移动硬盘都中招了！哎！
希望能早点找出这个病毒的克制方法。我已经扫描了，日志在附件里！谢谢……

附件: SREngLOGg.log

kuroboo - 2008-6-1 8:55:00

帮助啊

sako - 2008-6-1 9:00:00

这是你开机启动的文件
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Reboot.exe --> [N/A]><N>
不怎么清楚是什么,提醒下,认识的话可以无视

官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip
C:\Program Files\snss.exe
D:\snss.exe
E:\snss.exe
C:\snss.exe
D:\Autorun.inf
E:\Autorun.inf
C:\Autorun.inf

搞定后,用sreng删除下列启动项
<WindowsSystem><C:\Program Files\snss.exe /start> []

建议再用winrar打开每个盘符,检查是否有以下两个文件,如果有,删除
snss.exe
Autorun.inf

清理电脑
下载清理系统临时文件和IE临时文件夹工具,全选所有项目，点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar

kuroboo - 2008-6-1 9:08:00

<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Reboot.exe --> [N/A]><N>

这个我不认识啊！不能无视啊！先谢了

sako - 2008-6-1 9:12:00

那个文件是利用DOS来重起计算机的

不清楚怎么搞得

建议上报下
然后把那个启动文件夹删除

kuroboo - 2008-6-1 9:21:00

C:\snss.exe
D:\Autorun.inf
删除的时候那个软件说不存在，就没有删除！
怎么把那个启动文件夹删除？

kuroboo - 2008-6-1 9:25:00

1、每一个硬盘盘符下都出现了“音乐.exe”，如果原来有名为“音乐”的文件夹则变成了隐藏文件

2、进程管理器显示“被管理员停用”

3、控制面板里“显示所有文件”选项失效，隐藏文件无法显示

4、首页被篡改为www.cnxhack.com，每次开机自动打开。同时IE最顶上（不知道叫什么…汗）出现“西盟网络-中国最大网络安全门户”的宣传字样（本人觉得这一点特别讽刺），顺便说一句，我用的是IE7

在线症状还是存在啊:default8: :default8: :default8: ~！！

sako - 2008-6-1 9:31:00

http://bbs.ikaka.com/showtopic-8442813.aspx
看这帖解决问题3
里面在顶楼目录里有

问题1,建议把文件打包上传到可疑文件交流板块,也送到这里检测
http://virscan.org

在没有搞定前,建议先不要双击打开盘符

问题3,你是用超级管理员身份运行的?还是受限用户

问题4,建议修复IE

kuroboo - 2008-6-1 10:04:00

把可疑文件压缩上传可疑文件交流板块吗？？
我是管理员的身份！

天月来了 - 2008-6-1 10:42:00

上传可疑文件交流区吧。

kuroboo - 2008-6-2 11:15:00

该删除的都删除了，现在就是控制面板里“显示所有文件”选项失效，隐藏文件无法显示

天月来了 - 2008-6-2 11:26:00

去我置顶里下载注册表文件导入试试

去看吧，有目录呢。耐心找。很容易的。

kuroboo - 2008-6-2 11:40:00

可以了，谢谢:default6:

youyounvhai - 2008-6-7 22:52:00

引用:

原帖由 kuroboo 于 2008-5-31 7:53:00 发表
我的电脑中毒了，是被别人的U盘感染的，然后进一步毁了我自己的盘…

我觉得应该是一个新的病毒，极易中毒，只要U盘插上去，不管使用哪一种方法打开都一样，资源管理器也是…主流杀毒软件都检测不出来有毒，而且病毒还会会破坏杀毒软件…

我电脑的主要症状有：

1、每一个硬盘盘符下都出现了“音乐.exe”，如果原来有名为“音乐”的文件夹则变成了隐藏文件

2、进程管理器显示“被管理员停用”

附件: SREngLOG.log

瑞星卡卡安全论坛