瑞星卡卡安全论坛

在瑞星的论坛上求救了好几天也没有瑞星的人出来解决，机器出现了win32.virut.ax病毒，瑞星杀毒软件只能删除染毒的文件而不能清除病毒，这样的杀毒软件有什么用？我要的是清除病毒而不是删除文件，如果把文件都删除了我还杀什么毒？
我真不知道瑞星公司的服务是怎么搞的，对用户一点都不负责，以前我都过瑞星得网上诊断服务，把有关文件也发给了瑞星公司，瑞星公司也回复邮件说三天内回复解决方案，结果是石沉大海，……最后还是搞的我的系统崩溃！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; InfoPath.1)

您的发主题帖记录只有今天这一条
请把您所说的“求救了好几天也没有解决”的求助帖链接贴出来
您所说的“网上诊断服务”，不知指的是何服务？如果是通过邮件上报的，请把您的上报邮箱和上报网址贴出来，以便确定是否属实。

建议：
从瑞星工具---病毒隔离系统中把染毒文件恢复出来，压缩后贴上来，以便检测

win32.virut.ax
这东西是变形多态的感染型病毒，技术性难题，不好搞……
没详细情况，没样本，谁也救不了你。

可是有些病毒文件只能删除而不能清除啊

连当初制毒的都只能删除了事

又何谈别人设计个杀毒软件去清除哦

还有系统瘫痪，根本就没法啊

因为现在木马群流行替换系统重要文件哦。

各家杀毒软件的论坛都求助疯了

就连所有人认为最好的卡巴那里都论坛上求助加开骂疯了。

病毒把你哪些个文件都给搞坏了，坏都坏掉了，只能删除了。
你觉得什么不垃圾？？？？？？你去试试看能不能清除啊:default17:

有些文件就是病毒文件，需要直接删除。有时候不懂的话可以学习一下嘛。
遇到问题可以说出来大家一起讨论解决，你发了一通脾气，什么有价值的信息都不提供，要我们怎么帮你啊。到头来问题还是解决不掉。

把删除的文件通过隔离系统恢复然后贴上来，让高手分析下。

如果楼主提供的病毒名无误，那么就如3楼所说，是多态变形的感染型病毒。
这类病毒，原则上的确应该清除病毒，修复文件，而不应该删除文件。
然而，virut作为一个利用EPO技术进行多态变形的感染型病毒（每次感染的文件被修改的地方都会多多少少有不同），再加上其变种众多，要对virut感染的文件进行自动的修复，可以说是杀毒软件业界的世界性技术课题。
因此，瑞星一时不能对其某一变种感染的文件进行完美的修复，这也是可以理解的。
至于其他杀软，卡巴一向对感染型的修复能力不怎么过关，就更不用说了，其他如赛门铁克等，是否能完美地修复文件，也必须是试试才知道。

virut的另一个变种，我曾经粗略分析了一下如何修复被感染的文件，详细内容可见http://bbs.janmeng.com/thread-698921-1-1.html

与virut比起来，现在这些替换系统重要文件的病毒，根本就没啥技术含量了。

受教:default6:

第一，非常感谢大家的回复
第二，我确实只发了这一个帖子，前2天我本来是打算来发帖子的，但看见我的问题有人发了，就是这个http://bbs.ikaka.com/showtopic-8512714.aspx，我就在回复里谈了我的情况。
第三，我的一个文件不是病毒，是我天天都在用的一个exe文件，被感染win32.virut.ax病毒后，用瑞星杀毒软件杀毒，提示杀毒失败，选择删除感染文件或不处理，如果选择删除的话，我的这个要用的exe文件就没有了，如果选择不处理的话，病毒就清除不了！
第四，我只所以着急，是因为这是软件的可以执行文件，而且我有没有这个软件的安装程序了，现在我一打开执行这个文件就显示“对指定设备、路径或文件的访问被拒绝”，然后是瑞星杀毒提示，删除或不处理。
第五，至于说瑞星的服务没有回复邮件，这是事实，我发给瑞星的邮件和瑞星回复收到的邮件我都还保留有，但这个问题我现在不想提了，只是想怎么样保住我要要的文件又能把病毒清除！
第六，谢谢给位，希望大家能帮我解决这个病毒！

那个文件如果大小不超过5M

就压缩试试发上来吧

至于系统中可能还有病毒残余，可以试试：

扫SRENG日志发这论坛来
下载SRENG2.6版：http://bbs.ikaka.com/attachment.aspx?attachmentid=399427

1 下载的是压缩包，必须解压缩（建议直接解压到系统Windows文件夹里）
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

SRENG工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

好，谢谢，我一会就发上来

刚才发现我的WinRAR也不能运行了，跟我先前说的情况一样，所以SRENG2.6下载了都打不开了

我的电脑按提示杀毒过后，再重起启动不了了，安全模式除了4个角落有4个字，也是黑屏

这个文件是C++Builder的可执行文件，我传上来了，离开了本身的环境不只还能不能运行

WinRAR重装试试

刚才文件没有上传成功，因为是exe文件，但我的RAR压缩文件也运行不起了，我直接把后缀名exe改成了txt,如果你传上来，你在把他改回来

附件: bcb.txt

文件下载后，直接当病毒删了
以后再说吧
先将日志传你
也改txt 了

附件: SRE9d2c65c3.txt

我现在感觉还是最古老的办法最好 全盘格式话  我看病毒能嚣张成什么样子

回复天月，经过SREng扫描的文件我传上来了，麻烦你多多费心了

附件: SREngLOG.log (2008-6-11 22:48:22, 18.36 K)
该附件被下载次数 232

被感染的文件呢？

我觉得还是要提醒一下楼主，浪费大家这么多时间，因为你的一句气话引来多少版主回你的贴！！！都到20楼了才走上正题。建议以后发贴要先看版规。要知道现在病毒又这么疯狂，救助的人很多。还有版主他们帮求助者分析日志都要时间，版主们必竟是人不是机器，有时候肯定会有没注意到的贴子（给顶下去了，不显眼了）。建议以后 发贴不要一上来就开骂，要有点耐心，并且自己在论坛里多看看别人的救助实例，如有类似的可以先搬来试试。

被感染的文件bcb.exe在此附件里，是exe文件，由于RAR也感染不能用，所以就把后缀exe改成了txt，你接受后再把后缀改成exe。

附件: bcb.txt

下面这服务项是什么呢？看对应文件怪怪的。
==================================
服务
[支持和创建WEB的网络连接 / 支持和创建WEB的网络连接][Stopped/Auto Start]
  <C:\Program Files\Common Files\Microsoft Shared\MSINFO\yksshu.exe><N/A>

还有这一个怎在那位置运行呢？
==================================
正在运行的进程
[PID: 1752][C:\iexplore.exe]  [Microsoft Corporation, 6.00.2800.1106]

至于被感染的文件，可能误报，或者确实被病毒感染。

我为你将文件发到可疑文件区去看看

这个确实有点怪，我马上查一查。
正在运行的进程
[PID: 1752][C:\iexplore.exe]  [Microsoft Corporation, 6.00.2800.1106]
这个是我以前为了躲避一个什么病毒，特意把浏览器放在这里的。

天月版主，你看我的系统究竟怎样？有什么病毒作怪？该怎么清理？
yksshu.exe服务我也不知道是什么，不过我已把他改成手动启动了

那么重启电脑观察呢？？

如果没异常

只是那个软件的程序不能运行

你就稍等等吧

早上刚和管理员说过，等他们看到底还有没办法。

重新启动机器没有发现什么异常，病毒现象依旧，当然我电脑里还有几个exe也不能运行了，只是那个bcb.exe我目前急着用，我现在也没有什么办法了，就只有等你了，在此先谢了

Borland C++ Builder重新下载安装不就行了，为什么要等？
如果系统实在有问题，应该考虑重装系统。
有些病毒造成的损失是不可逆的，即使杀了病毒，系统已经千疮百孔了，重装比留下一个千疮百孔的系统更为明智。
软件也是一样的道理，特别是安装包，像这样的感染型病毒，对文件进行感染，会破坏文件携带的附加数据，即使病毒代码被清除，被覆盖掉的附加数据也已无法直接恢复。这就是不可逆的损失（除非你找专业的数据恢复公司去尝试，但是得不偿失）。一般的软件程序，经常就有附加数据，因此病毒的感染即使完整修复，仍然很可能造成软件程序无法使用。
另外，楼主提供的bcb.exe，由于属Borland C++ Builder的组件，运行需要Borland C++ Builder的库文件支持（在输入表中有大量相关的项目），因此离开了运行环境，我们拿到这个样本，PE装载器是没有办法载入进行动态分析的，也就等于没有价值。
要提供有效的样本，应该是像WINRAR这样的，常用的软件，或者输入表中没有依赖非系统组件的程序。
楼主既然是使用Borland C++ Builder的，说明是编写软件的程序员，我想对我以上说的问题，你应该比我更清楚。

回复：轩辕小聪
非常感谢轩辕小聪的回复，你说的也确实有道理，我也明白，我之所以想恢复bcb.exe是因为我没有了c++builder的安装盘，而且是5.0的，我现在也没有打算升级到6.0或别的，我常用cb遍一些小的应用程序，但我不是专业的程序员，只是业余的，我目前正有一个小程序已经编好了，只是要做一些小的调试和修改，现在bcb.exe感染病毒了，没法用了，所以很着急。
      我的系统是Win2000，确实也有点像千疮百孔了，几次为了消灭病毒都手工调整了很多，只是现在也不打算重装系统，如果重装系统有很多程序和数据要恢复，所以先打算将就用。
      我传一个WinRAR.exe（把exe改成了txt，收到后再改回来）文件给你们，其病毒现象跟bcb一样，望你们可以研究找出杀毒的方法，加在瑞星的升级版本里，然后我再来清除bcb的病毒！

附件: WinRAR.txt