U盘autorun病毒始终无法删除，急！ bbs.ikaka.com

寂寞脱拉裤 - 2008-6-13 10:09:00

:default11: U盘里有autorun病毒了，双击盘符和右键“打开”都打不开U盘，只能用右键“资源管理器”进入。格式化、autorun专杀工具都用过了，可还是没有杀掉，拔掉后再插360始终都提示有autorun病毒。请教高手该如何解决，急，在线等。谢谢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

天月来了 - 2008-6-13 10:22:00

抓图来看

必须是整个U盘内的图

可以考虑用解压工具WinRAR打开U盘，抓图看

寂寞脱拉裤 - 2008-6-13 10:35:00

有劳斑竹了。。。

天月来了 - 2008-6-13 10:50:00

扫SRENG日志发这论坛来
下载SRENG2.6版：http://bbs.ikaka.com/attachment.aspx?attachmentid=399427

1 下载的是压缩包，必须解压缩（建议直接解压到系统Windows文件夹里）
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

（同时注意SRENG工具的入口点提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示，可以不管它，请不要为这问题反复询问。）

SRENG工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

newcenturymoon - 2008-6-13 10:51:00

那个information传上来看看

寂寞脱拉裤 - 2008-6-13 12:31:00

希望能解决问题！

附件: SREngLOG.log

一直在学习的人 - 2008-6-13 13:35:00

SREng修复下面的项

启动项目－－注册表之如下项删除：
[Explorer] <pubmac.vbs>

全盘搜素一下pubmac.vbs，删除。
把U盘等移动设备上的autorun.inf及那个脚本文件删除。

寂寞脱拉裤 - 2008-6-13 15:06:00

已经删除启动项，但问题依旧，插入U盘还是有那两个文件在！

天月来了 - 2008-6-13 15:15:00

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除那两文件。

寂寞脱拉裤 - 2008-6-13 15:26:00

:default1: 顽固，非常的顽固！
斑竹你的方法失效，两个文件又出现了！

天月来了 - 2008-6-13 15:33:00

时删除不了？？？还是删除后又出现？？？

:default2:

这可是有区别的，你格式化试试

你得这样：

一定要在文件夹选项那里设置系统显示隐藏文件、系统文件。

然后全机搜索“pubmac.vbs”文件。以及你那两文件，一起搜索

看看到底有些什么。都在哪里？然后一起同时用费尔抑制删

或者将那两文件压缩后发上来。

或者试试它去：
http://www.easysofts.com.cn/

寂寞脱拉裤 - 2008-6-13 16:33:00

删除后重启电脑，再插入U盘就又出现了。
按你的方法搜索“pubmac.vbs”文件和那两个病毒文件，其他盘都没有，只有U盘下有，直接删除或者用费尔抑制删除都没用！
再用了USBkiller注册版，杀完之后还是会出现，非常的顽强啊！
请斑竹试试其他方法。谢谢

天月来了 - 2008-6-13 16:36:00

你再扫个最新日志来

还有那U盘里的文件压缩发上来

寂寞脱拉裤 - 2008-6-13 16:39:00

日志就是中午扫的啊！
两个文件的压缩包见附件。

附件: autorun.rar

天月来了 - 2008-6-13 16:43:00

现在呢？
你说你删了那启动项，我想看看还有没。

寂寞脱拉裤 - 2008-6-13 16:48:00

晕，刚看了又有了！还是和开始一样！
能和天月斑竹Q聊吗？我的Q12587824

天月来了 - 2008-6-13 16:57:00

你到底给不给最新日志？

很可能你需要依照这贴做了：
http://bbs.ikaka.com/showtopic-8429831.aspx

类似的。这样可能才能删除那个东西

寂寞脱拉裤 - 2008-6-13 17:04:00

附上最新日志。

附件: SREngLOG1705.log

天月来了 - 2008-6-13 17:13:00

这项目还在：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<Explorer><pubmac.vbs> []

你先拔掉U盘，千万别再插电脑里了，先处理完电脑再说。

用解压工具WinRAR依路径打开找：C:\WINDOWS\和C:\WINDOWS\system32两文件夹下，到底那个pubmac.vbs在哪？？？

U盘一定要拔掉，再做事。

寂寞脱拉裤 - 2008-6-13 17:17:00

在C:\WINDOWS\system32文件夹下

天月来了 - 2008-6-13 17:22:00

那你这样。
用费尔先抑制再生，删除它

U盘不要再插了

寂寞脱拉裤 - 2008-6-13 17:25:00

完毕！

天月来了 - 2008-6-13 17:28:00

虾米意思？？？

将U盘扔一边去。

用SRENG工具去删除那启动项。

然后重启电脑

再去看启动项和那破文件是否又出来

寂寞脱拉裤 - 2008-6-13 17:36:00

重启电脑后启动项里继续出现，C:\WINDOWS\system32文件夹下没有出现那个文件了！

天月来了 - 2008-6-13 17:42:00

你先那删除有没成功哦？
别自己没删除成功。就弄晕了呢

你再仔细删一次试试

天月来了 - 2008-6-13 18:36:00

楼主如果操作后，系统已不再有异常。

就可以尝试操作U盘了

但是必须这样操作才行：

注意：插入移动硬盘或U盘等移动存储设备时，必须先按住“Shift”键不放，等系统硬件检测完毕，才可以松开此键，再用WinRAR打开删除那两个文件。

然后拔掉U盘，再次先按住“Shift”键不放，擦入U盘，看看结果怎样。

瑞星卡卡安全论坛