瑞星卡卡安全论坛

我的F盘里的部分文件夹变成220K的exe文件，用了许多U盘专杀工具都没有用，请高手来帮忙，先谢谢了。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; InfoPath.1)

建议楼主扫描日志上传

下载官网SREng：http://www.kztechs.com/sreng/download.html

打开后点智能扫描．勾选检查进程模块的数字签名，点扫描．

把日志以log日志导出并作为附件贴到论坛里．

如果SREng因病毒的干扰不能运行或扫描日志，您可以将SREng.exe改名为123.bat,123.com,123.scr.

将那220K的exe文件压缩发两个来看看

日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

应该就是普通的U盘文件夹病毒，看样子没有添加启动项和驱动。
不要再进行任何打开磁盘的操作，可以下载 Icesword 协助查看文件。

打开任务管理器，结束掉名字怪异的进程，最好能传张图上来，可以帮你判断，以免操作错误。
文件夹选项，设置为  去掉 “隐藏受保护的操作系统文件”“隐藏已知文件类型的扩展名”，选择“显示所有文件”
然后删掉 autorun.inf 和 所有 220KB的 .exe 文件夹图标的应用程序。
可能会删不掉，如果删不掉  开始=》运行=》CMD=》确定  输入如下
F：        （如果中毒盘的盘符是F，一般U盘也会有症状）
ATTRIB -S -H -R
然后再删应该可以
其他盘里可能也有这些东西，可以用Icesword查看文件。

删除也有个不打开磁盘的方法，就是 开始 运行 点下面的浏览，“文件类型”选择“所有文件”，然后找到了直接右键，删掉就好了

忘记了一个严重的问题 建议清空系统临时文件夹，就是 C:\Documents and Settings\Administrator\Local Settings\Temp里面的

还有就是启动项太多，建议清除，建议卸载YAHOO助手。

楼主呀

日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

唉

我要文件样本也没给

日志发放附件，也整不来

现在还有异常吗？？？

那干脆下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

:default3: 求助者不来了

好了，好了

是我的错

楼主你现在到底系统怎样了呀:default2:

好想要个样本看看哟:default7:

不好意思！前几天较忙，没有看到，现把日志文件及样本上传过来，谢谢帮忙！
系统依旧。

附件: SREngLOG.log

附件: 样本.rar

你这计划任务是什么？？？
==================================
计划任务
[已启用] DDD_Install_Program.job
        C:\DOCUME~1\user\LOCALS~1\Temp\remotesetup.exe
[已启用] DDD_Uninstall_Program.job
        C:\DOCUME~1\user\LOCALS~1\Temp\dddC6.tmp.exe

下载文件提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\DOCUME~1\user\LOCALS~1\Temp\remotesetup.exe
C:\DOCUME~1\user\LOCALS~1\Temp\dddC6.tmp.exe

提取不到就算了。

那些文件删除后还会继续出现吗？？

您所上报的文件已经收集，有结果会给您回复。

不敢删啊！生怕删了后文件夹内的内容再也找不回来了。

文件提取不到，Temp内已找不到这两个文件。

那你用解压工具WinRAR依路径打开文件夹找文件，看看情况如何呢？？

能看出什么么？？？

也找不到应有的文件夹，只能看到同名的exe文件。

那你可能需要考虑找磁盘数据恢复工具试试恢复文件看了

很可能被病毒恶意删除的文件难以找回来了

经过分析，您所上报的文件不是病毒。