论坛 › 系统与软件区 › 又一个变态的病毒光临，F11恢复了7次系统，累就一个字

ASP 发表于 2007-6-4 23:10

又一个变态的病毒光临，F11恢复了7次系统，累就一个字

都说是U盘病毒，但我是浏览网页中招的。
关于此病毒的报道：http://www.ibmnb.com/viewthread.php?tid=538896&extra=&page=1
下午浏览一网页，突然卡巴消失了，系统进程立马下降到只有15个，无法显示隐藏的文件，打
开网页查询，凡是标题含有“病毒”、“卡巴”、“瑞星”、“专杀”等词的网页打开就被关闭，进入
安全模式系统蓝屏，使用WINRAR查看各盘符根目录可见2个病毒文件（一个antorun.inf，一
个C6C25E11.exe，C6C25E11为随机命名，极短时间内WINRAR就被关闭了）。

曾经打算格式化硬盘，但想到60多G数据.......

于是不断的按F11，每次恢复新系统后马上进入安全模式，进入DOS下del C6C25E11.exe不行，正常
进入windows并打开进程管理器进行实时监控，病毒进程一出现马上干掉，不断地找出病毒的根源文件，手动解决！

通过折腾，认为根源文件位于C:\Program Files\Common Files\Microsoft Shared\MSInfo下面一个dll文件和dat文件。
（比如我系统C6C25E11.DLL和C6C25E11.DAT）

于是便想尽一切办法干掉那二个文件，然后进入D\E等盘下面干掉antorun.inf、C6C25E11.exe即可。
各盘符下anturun文件内容如下：

open=C6C25E11.exe
shell\open=打开(&O)
shell\open\Command=C6C25E11.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=C6C25E11.exe:(
.........
不想写下去了，我无语，保持沉默！*.*lll *.*lll

[ 本帖最后由 ASP 于 2007-6-4 23:12 编辑 ]

luhua 发表于 2007-6-4 23:19

F11恢复后C盘是无毒的，然后查杀其他盘，不是很简单的事吗？

ASP 发表于 2007-6-4 23:38

回复 #2 luhua 的帖子

没你想的这么简单，远远超乎你的想像。分析一下autorun文件就知道了

TOLLY 发表于 2007-6-4 23:44

用光盘版本的WinPE (如深山红叶)启动，然后安装NOD32，再升级至最新版本（当然要在干净的机器上制作WinPE并下载NOD32的最新升级包刻录到光盘，或者下载了什么的专杀工具也可以放进去），再慢慢的杀个精光。。。
这种情况下（杀光光病毒前）千万不要双击硬盘的盘符（一双击就会再次中招了）。。。^u^

vfan127 发表于 2007-6-4 23:44

没那么复杂
恢复后别运行非C盘的任何程序
立即在组策略里关闭所有盘符的自动运行功能
然后去每个根目录下删除autorun.inf
再全盘杀毒

ASP 发表于 2007-6-4 23:56

回复 #5 vfan127 的帖子

恢复系统后，系统自动弹出1楼中自上下数的第三张图的窗口，我没执行。但很快位于C:\Program Files\Common Files\Microsoft Shared\MSInfo下面的那两个文件就产生出来了，接着本来显示的隐藏文件就无法显示了，奇怪，没执行C外其它盘的双击命令啊？

lkj1025 发表于 2007-6-4 23:58

系统在启动时就会自动扫描各个盘的了，一扫描就中招了

my_blues 发表于 2007-6-5 00:24

和我前天中的毒差不了多少。
显示隐藏文件很好办，网上找一下方法就可以显示
关键是要把病毒的进程给KILL掉，然后在把那几个可执行文件给全部找到，直接删除就可以了

后来不放心，我又GHOST一遍，才放心，你可以查一下我的帖子

TAMK 发表于 2007-6-5 00:36

BT啊 *.*lll
学习学习...

zhaoxuliang 发表于 2007-6-5 07:06

裸奔的路过

病毒越来越bt了，杀软已经成了众矢之的，几乎废了。

firstfox 发表于 2007-6-5 09:19

这个很强 ，关注下

liusheng7029 发表于 2007-6-5 09:32

关注了！

hbqjljl 发表于 2007-6-5 09:44

这个尖注一下，

luhua 发表于 2007-6-5 11:28

原帖由 ASP 于 2007-6-4 23:38 发表 http://www.ibmnb.com/images/common/back.gif
没你想的这么简单，远远超乎你的想像。分析一下autorun文件就知道了


至于嘛？
C盘纯洁，不要动除C盘外的盘，然后动用数个杀毒软件杀毒，然后再GHOST回来，简单的。

酷睿 发表于 2007-6-5 13:32

这个其实是U盘病毒+落雪病毒。前段时间中过，用江民专杀能解决。其他的我试了，都不能彻底的解决。

beyondest 发表于 2007-6-5 13:36

这个东西最近很流行 周围人的移动存储设备接上来无一例外的报警

chaici 发表于 2007-6-5 15:42

客户刚中这个,让他格式化整个硬盘他不听.

jt88rise 发表于 2007-6-5 15:51

关注ING

scwhcn 发表于 2007-6-5 16:56

其实着都是在管理员下上网和日常操作带来的麻烦,我从来不在管理员下运行不明来历的程序,所以从96年用NT4到现在用XP还没中过毒.微软就说过,建议日常工作应在最小权限帐户下进行.这样Win2000/XP/2003/Vista本身就有一定的病毒防御能力,除非系统本身有权限提升漏洞.

zy7057 发表于 2007-6-5 17:22

最好到DOS下手动删除AutoRun文件然后再杀毒。

zmq 发表于 2007-6-5 18:57

看来这个病毒最近很疯狂啊
好在最近很少有机会上网

酷睿 发表于 2007-6-5 19:14

原帖由 scwhcn 于 2007-6-5 16:56 发表 http://www.ibmnb.com/images/common/back.gif
其实着都是在管理员下上网和日常操作带来的麻烦,我从来不在管理员下运行不明来历的程序,所以从96年用NT4到现在用XP还没中过毒.微软就说过,建议日常工作应在最小权限帐户下进行.这样Win2000/XP/2003/Vista本身就 ...

有点道理

ASP 发表于 2007-6-5 23:42

原帖由 zy7057 于 2007-6-5 17:22 发表 http://www.ibmnb.com/images/common/back.gif
最好到DOS下手动删除AutoRun文件然后再杀毒。
请问在DOS下如何删除隐藏的系统文件呢？

iocompaq 发表于 2007-6-5 23:48

我更惨啊,也是中了U盘病毒,注册表程序和系统配置程序都无法运行,用NOD32查杀完病毒,电脑重启居然进入不了系统了,现在还没有弄好

fang5566 发表于 2007-6-6 00:27

应该就是这里说的病毒了
http://hi.baidu.com/newcenturysun/blog/item/e87aa7198456164443a9ada0.html

luhua 发表于 2007-6-7 11:42

原帖由 ASP 于 2007-6-5 23:42 发表 http://www.ibmnb.com/images/common/back.gif

请问在DOS下如何删除隐藏的系统文件呢？

先用命令dir查看，再用attrib改属性。

举例
dir/a
attrib -r -s -h X.exe

stwql 发表于 2007-6-7 12:12

没那么复杂.先回复C盘后别进系统.直接到DOS下删除别的分区下的AutoRun等文件.

美国总捅 发表于 2007-6-7 12:22

kay1487kay 发表于 2007-6-7 12:50

这病毒我中过，是比较厉害，GHOST后，只要启动系统就再次中招，系统时间被改为2004年5月22日，杀软根本打不开，进程只有10几个
最后惹毛了，DOS下全盘格式化---GHOST，开机还不行，怀疑就连GHOST文件也被感染了，最后没办法硬盘低格，靠---我辛苦收集的10大禁播色情电影没了，哈哈

kay1487kay 发表于 2007-6-7 12:52

有人要这病毒没有，我收集了下，打包放邮箱里了，有XD要研究下吗？

查看完整版本: 又一个变态的病毒光临，F11恢复了7次系统，累就一个字