超级病毒，重装系统后，打开文件病毒立即重现！！！！！ bbs.ikaka.com

金山一派 - 2008-7-1 9:03:00

超级病毒。已经有多台电脑中招。
病毒特征：打不开所有安装文件，打不开任务管理器，跳出很多窗口，自动重启，运行速度慢
病毒级别：超级严重
危害程度：重装系统后，打开C盘外的文件马上感染！瑞星查不出，360查不出！
凡是在中毒后的电脑拷贝过文件，都逃不了中毒！传染性极强！
病毒名称：不知道！

有高手能够帮忙吗？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; TheWorld)

金山一派 - 2008-7-1 9:35:00

急！急！急!急！
急！急！急!急！

小九的寒 - 2008-7-1 9:42:00

引用:

原帖由 金山一派 于 2008-7-1 9:35:00 发表
急！急！急!急！
急！急！急!急！

改名能打开吗？尝试打开隐藏显示所有文件，显示扩展名。

建议您用以下工具来修复系统和清理系统中存在的恶意程序。

1:清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe

2：QQkav病毒查杀小工具,这个工具可以查杀很多的病毒和木马，如果双击无法打开建议改名打开：例：123.exe.
123.com
打开QQkav工具点屏蔽清理/立即清理系统垃圾文件
打开修复/系统修复/IFEO映像劫持
重置hosts文件并保存修改
下载地址：
http://www.qqkav.com/qqkav/

3：建议用windows清理助手清理一下系统。
windows清理助手下载页面：http://www.arswp.com/download.html

清理完系统以后重启电脑，然后再扫描一份系统日志以附件的形式上传上来。
建议使用System Repair Engineer扫描日志，将日志作为附件上传上来。
SREng下载地址：http://www.kztechs.com/index1.html#注：（手动在IE浏览器里面输入以上地址敲回车键，下载保存到桌面。）
操作方法：
1、下载后解压缩，运行SREngLdr.EXE；
2、如果无法打开尝试把SREngLdr.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

天月来了 - 2008-7-1 9:44:00

既然：“重装系统后，打开C盘外的文件马上感染！瑞星查不出，360查不出！
凡是在中毒后的电脑拷贝过文件，都逃不了中毒！传染性极强！

那你应该重装系统后，绝不使用原机文件。

将文件量小于4M的可执行文件，一运行就会来毒的，找两个发上来，或者直接上报瑞星。

金山一派 - 2008-7-1 10:10:00

染毒文件

金山一派 - 2008-7-1 10:57:00

重装系统后才能把他传上来

染毒文件:

附件: 012.part1.rar

附件: 012.part2.rar

附件: 012.part3.rar

RisingCSC - 2008-7-1 11:18:00

您提供的样本不是病毒请重新提交病毒文件

金山一派 - 2008-7-1 12:01:00

现在卡卡助手，360卫士都打不开了！急！

金山一派 - 2008-7-1 12:06:00

弹出窗口
http://www.t-too.cn/pic/1001_2.html
http://www.t-too.cn/pic/1001_2.html

金山一派 - 2008-7-1 12:12:00

http://pop.9v.cn/code/pop_data.asp?f=39147&t=35&a=443&p=ad2e1391799814abd769d9e939f23ca3&k=Q5E8X1E8EGYX&u=http://www.xwlyy.cn/&ref=http://one.cn.yahoo.com/s?p=%E7%94%B5%E8%84%91%E7%BD%91%E7%BB%9C&pid=hp&v=web&b=60
res://C:\WINDOWS\system32\shdoclc.dll/http_400.htm
还有这些

金山一派 - 2008-7-1 12:13:00

瑞星打不开，快要重启

金山一派 - 2008-7-1 12:24:00

AV总结者发现：Broken_SafeBoot

金山一派 - 2008-7-1 13:48:00

任务管理器被封

豪斯登堡新郎 - 2008-7-1 16:30:00

不要老在这一贴一贴说问题

让你扫日志你偏就不扫那让人怎么帮你？

天月来了 - 2008-7-1 18:13:00

他可能觉得这样的发贴方式能表达内心的着急吧。

毕竟他不知道网络求助中发系统日志的重要性。

我找了官方，取了样本，等吧。

它发的被感染的文件我没自己的电脑测试了。

不知道哪位能试跑一下看看。

金山一派 - 2008-7-1 20:23:00

我发了病毒样板给金山毒霸后，半个小时他就拿出解决方案了，现在我用金山毒霸完全可以把病毒杀死光了，电脑也正常了！
谢谢各位了

baohe - 2008-7-1 21:18:00

6楼的样本就是被那个“在线修复卡巴斯基”感染的文件。此毒感染非系统分区文件，且能穿透影子等还原软件。

俺的硬盘只有一个分区，所以收拾起来容易得多：

1、结束病毒进程c:\windows\TRCI2g10N.exe。删除病毒文件（见附图）
2、清理注册表：

（1）打开注册表编辑器，展开：
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
删除
"C:\\windows\\G0Z8CFGEEH.exe"="G0Z8CFGEEH"：
（2）展开：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
删除：
{f7b74df2-e1a1-11db-8a2e-806d6172696f}
（3）展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7b74df3-e1a1-11db-8a2e-806d6172696f}\
删除：_Autorun\DefaultIcon

附件: 1.jpg

瑞星卡卡安全论坛