瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 高手们,进来呀!求你们帮帮忙了!每个分驱都打不开了

1   1  /  1  页   跳转

高手们,进来呀!求你们帮帮忙了!每个分驱都打不开了

收藏
MajorSai
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-01-15
  • 来自:
发表于: 2007-06-06 20:41 | 只看楼主 短消息 资料
字号: 1楼

高手们,进来呀!求你们帮帮忙了!每个分驱都打不开了

今天早上,我发现我每个分驱中都多了个文件,是一个文件名是"u.vbe"的脚本文件,我想是中毒了,当我打开C盘,发现一个TXT文本文件,文件名是"你已经被专杀U盘病毒的"病毒"感染了"!我打开看了,内容是说:"我是个学生,要研究"专杀U盘病毒的杀毒软件"所以做了这个脚本文件,这个脚本文件像病毒一样通过U盘来传播,高感染性,但是用它对付U盘病毒,是以病毒制服病毒,谢谢合作!如要卸载,请在C:\下建个txt的文本文件,文件名是"8bye.txt"!!"

我看了很生气,即使你真是为了研究,也不能像流氓软件一样,不经过别人的同意,就私自给别人装东西呀!我就照着他的方法,在C:\下建了个"8bye.txt"的文本文件,卸载了
但问题出现了,我的所有的分驱都打不开了,点击后,出现一个警告,如图,说"无法找到"u.vbe"的脚本文件,每个分驱都打不开了...我重装了系统,还是打不开,一样说"无法找到"u.vbe"的脚本文件

各位高手们,帮帮忙呀,有人说格式化,但我的每个分驱里都有很多重要资料的,多年的积累呀,几十G呢!不能格呀!求你们帮帮忙,我卸载之前,曾把其中一个"u.vbe"的文件发到瑞星工程师那,他却回复说,不是病毒...真是没法子了!

附件附件:

下载次数:261
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 20:41:47
描述:



最后编辑2007-06-06 23:18:18
分享到:
gototop
 
MajorSai
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-01-15
  • 来自:
发表于: 2007-06-06 21:25 | 只看楼主 短消息 资料
字号: 2楼

再次谢谢各位了!真的,等着大家来帮忙了
gototop
 
新版小欧
头像
自信弱冠狮
  • 帖子:384
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-06-06 21:30 | 短消息 资料
字号: 3楼

你的分区中应该有一个文件是AUTORUN.IFN

你在桌面上新建个压缩文件,然后用此文件打开你的分区的根目录.将以上的文件清除.这样你就可以双击打开了.

可你先确定你的系统里没有病毒
gototop
 
MajorSai
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-01-15
  • 来自:
发表于: 2007-06-06 21:57 | 只看楼主 短消息 资料
字号: 4楼

我试了试!果然在每个分驱下都有一个文件是AUTORUN.IFN
用了这个方法!
可还是打不开,和刚刚一样!是不是要重起呀?
还要谢谢你呢!
gototop
 
agee
头像
飘泊而立狮
  • 帖子:543
  • 注册: 2007-01-26
  • 来自:
发表于: 2007-06-06 22:03 | 短消息 资料
字号: 5楼

借花献佛
下载 System Repair Engineer,
http://www.kztechs.com/sreng/download.html
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改
日志一次发不完,请分次发上来
gototop
 
冰峰依旧
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-06-06
  • 来自:
发表于: 2007-06-06 22:26 | 短消息 资料
字号: 6楼

@echo off
echo "先中止病毒进程"

echo "删除C盘病毒文件"
DEL C:\WINDOWS\lsass.exe /F /Q /A R H S A
DEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A
DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\r.exe /F /Q /A R H S A

DEL C:\u.vbe /F /Q /A R H S A
DEL C:\*.sk /F /Q /A R H S A
DEL d:\u.vbe /F /Q /A R H S A
DEL d:\*.sk /F /Q /A R H S A
DEL e:\u.vbe /F /Q /A R H S A
DEL e:\*.sk /F /Q /A R H S A
DEL f:\u.vbe /F /Q /A R H S A
DEL f:\*.sk /F /Q /A R H S A
DEL g:\u.vbe /F /Q /A R H S A
DEL g:\*.sk /F /Q /A R H S A
DEL I:\u.vbe /F /Q /A R H S A
DEL I:\*.sk /F /Q /A R H S A
DEL I:\u.vbe /F /Q /A R H S A
DEL I:\*.sk /F /Q /A R H S A

echo "删除各个分区根目录下文件,需要根据各个电脑的分区数量进行调整"
RMDIR C:\runauto...\ /S /Q
DEL C:\autorun.* /F /Q /A R H S A
RMDIR D:\runauto...\ /S /Q
DEL D:\autorun.* /F /Q /A R H S A
RMDIR E:\runauto...\ /S /Q
DEL E:\autorun.* /F /Q /A R H S A
RMDIR F:\runauto...\ /S /Q
DEL F:\autorun.* /F /Q /A R H S A
RMDIR G:\runauto...\ /S /Q
DEL G:\autorun.* /F /Q /A R H S A
RMDIR i:\runauto...\ /S /Q
DEL i:\autorun.* /F /Q /A R H S A
RMDIR G:\runauto.INF /F /S /Q
DEL G:\desktop.ini /F /Q /A R H S A
DEL h:\u.vbs /F /Q /A R H S A
DEL h:\*.sk /F /Q /A R H S A

echo "删除各个分区根目录下文件,需要根据各个电脑的分区数量进行调整"
RMDIR C:\autorun.inf /S /Q
DEL C:\autorun.inf /F /Q /A R H S A
RMDIR D:\autorun.inf /S /Q
DEL D:\autorun.inf /F /Q /A R H S A
RMDIR E:\autorun.inf /S /Q
DEL E:\autorun.inf /F /Q /A R H S A
RMDIR F:\autorun.inf /S /Q
DEL F:\autorun.inf /F /Q /A R H S A
RMDIR G:\autorun.inf /S /Q
DEL G:\autorun.inf /F /Q /A R H S A

COPY C:\WINDOWS\regedit.exe C:\WINDOWS\ghregedi.exe
echo "注册表编辑器已备份为ghregedi.exe"

COPY C:\WINDOWS\SYSTEM32\cmd.exe C:\WINDOWS\SYSTEM32\ghcmd.exe
echo "命令行工具已备份为ghcmd.exe"

echo "文件删除完毕,请重新启动并清理注册表相关项。"
存为bat文件,运行.
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2007-06-06 22:34 | 短消息 资料
字号: 7楼

照四楼操作
gototop
 
MajorSai
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-01-15
  • 来自:
发表于: 2007-06-06 22:51 | 只看楼主 短消息 资料
字号: 8楼



[复制到剪贴板]
CODE:


2007-06-06,22:32:20

System Repair Engineer 2.4.12.806
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <PostBootReminder><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Windows Publisher]
    <CDBurn><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Windows Publisher]
    <WebCheck><%SystemRoot%\system32\webcheck.dll>  [(Verified)Microsoft Windows Publisher]
    <SysTray><C:\WINDOWS\system32\stobject.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    <{438755C2-A8BA-11D1-B96B-00A0C90312E1}><%SystemRoot%\system32\browseui.dll>  [(Verified)Microsoft Windows Publisher]
    <{8C7461EF-2B13-11d2-BE35-3078302C2030}><%SystemRoot%\system32\browseui.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS]
    <浏览器自定义组件><RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
    <Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
    <Internet Explorer 6><%SystemRoot%\system32\ie4uinit.exe>  [(Verified)Microsoft Windows Publisher]

==================================
启动文件夹
N/A

==================================
服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

==================================
驱动程序
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc][Running/Manual Start]
  <system32\drivers\ac97intc.sys><Intel Corporation>
[nv / nv][Running/Manual Start]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
  <system32\DRIVERS\tcpip.sys><Microsoft Corporation>

==================================
浏览器加载项
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\macromed\flash\flash.ocx, Macromedia, Inc.>

==================================
正在运行的进程
[PID: 292][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 340][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 928][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [D:\WinRAR\rarext.dll]  [N/A, ]
[PID: 992][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1308][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\macromed\flash\flash.ocx]  [Macromedia, Inc., 6,0,79,0]
    [C:\WINDOWS\system32\FREEWB.IME]  [Delphi Fan Studio, 5.1]
    [C:\Program Files\极点纯净二笔输入法\plugin\date.plg]  [, 1, 0, 0, 1]
[PID: 1772][C:\WINDOWS\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1284][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\FREEWB.IME]  [Delphi Fan Studio, 5.1]
    [C:\Program Files\极点纯净二笔输入法\plugin\date.plg]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\macromed\flash\flash.ocx]  [Macromedia, Inc., 6,0,79,0]
[PID: 552][C:\Documents and Settings\我家的小猫咪\桌面\sreng2\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\sfc_os.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================
gototop
 
MajorSai
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-01-15
  • 来自:
发表于: 2007-06-06 22:58 | 只看楼主 短消息 资料
字号: 9楼

echo off
是什么呀?我不太懂呀
请教下
谢谢大家
gototop
 
新版小欧
头像
自信弱冠狮
  • 帖子:384
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-06-06 23:28 | 短消息 资料
字号: 10楼

主要是这个C:\WINDOWS\system32\UxTheme.dll
病毒文件,你进入安全模式,使用冰刃删除这个文件.

然后使用SREng软件删除除以下之外的所有启动项

<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>

再使用四楼的方法
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT