牧夫天文网

标题: 我的U盘中毒了，大家帮忙看看如何化解。。 [打印本页]

作者: meteorobs 时间: 2009-12-1 23:41
标题: 我的U盘中毒了，大家帮忙看看如何化解。。
说是U盘，其实是录音笔中存了一些天文图片和课件，拿到某学校公用多媒体教室使用后不久，

上上周末外出观测时在musicworm同好的笔记本上使用前一杀毒发现问题了。。。

杀毒之后很多文件都貌似被隐藏起来的，但是容量依旧存在，经过几番研究我发现只有通过右键点击“作为便携媒体设备打开”这个选项才能看到里面的内容，

但是里面的单个文件必须要要复制到本地文件夹然后打开副本才能看到。。。这是怎么回事啊？？

我的这个录音笔中有很多珍贵的天文资料，不知如何才能恢复原状呢？？还请诸位高手帮帮支招啊~~~

作者: 望天 时间: 2009-12-1 23:47
本帖最后由望天于 2009-12-1 23:49 编辑

下个U盘杀毒软件实验实验,我曾经在单位的所有机器上杀过无数U盘病毒,一个感染其他都会通过U盘感染

我没用过录音笔

作者: meteorobs 时间: 2009-12-1 23:49
实验？！！

里面资料重要，我可不敢轻易实验啊。。。

不知有没有更稳妥一些的办法呢？

作者: 望天 时间: 2009-12-1 23:51
我曾经杀过好多U盘病毒,杀毒前都是备份的.

后来发现,一切重要的财会文件都完好,没有被破坏

作者: 望天 时间: 2009-12-1 23:55
USBCleaner V6.0Build20091001

http://www.usbcleaner.cn/download.htm

作者: meteorobs 时间: 2009-12-2 00:07
LS发的那个软件不知是否好用而且保险呢？？

我打算这次的事件化解后买个带写保护的U盘。。。

作者: 望天 时间: 2009-12-2 00:12
不一定好用保险,任何软件都不是万能的,

我曾经用此软件对一个读卡器毫无办法,

作者: eventime 时间: 2009-12-2 06:28
没遇到过这种情况。系统文件和隐藏文件都打开。看一下u盘里有没有一个叫autorun的文件，如果有。把它删除，重新插一次。如果你的u盘病毒还在，可以发一个病毒副本给我。qq联系我：442881592

作者: zheng123 时间: 2009-12-2 06:31
提示: 作者被禁止或删除内容自动屏蔽

作者: poweru235 时间: 2009-12-2 07:41
那个软件保险楼主尽管用好了

作者: shomo 时间: 2009-12-2 13:15
手动杀毒办法：
1、显示所有文件，包括隐藏的系统文件。（如不能显示可在命令提示符下使用ATTRIB命令配合DEL命令来干掉）。
2、删除autorun.inf以及若干个EXE文件。
3、还有若干个隐藏的文件加（原先是正常的），把他们的隐藏属性去掉。
4、拔插一下U盘（确保系统没毒）。

OK了

这是一个比较典型的U盘病毒，首先会写入AUTORUN文件，这样如果你的系统打开自动播放的话直接中标，如果禁用了自动播放呢，它还有另一招：把所有（或者部分）正常文件夹隐藏，自动生成与文件夹同名的EXE文件，并使用文件夹图标，这样隐藏扩展名的电脑里根本看不出来区别，更秒的是，你双击它时还会打开原来的文件。在被杀软干掉之后，你会发现U盘里什么都没有了，但是容量显示还是文件在时的样子。

如果我记得没错的话，系统中标之后会在%windir%\system32\drivers目录下生成一个messages.exe的文件，并写入启动项，此进程会自动查找局域网中允许写入的共享目录，在其中写入coolgamesetup.exe的文件，打开就会中毒。同时会感染本机所有的EXE文件，甚至会对压缩文件进行解压--感染--重新压缩，导致压缩文件被感染或破坏。因此LZ要装个好用的杀软对本机进行全面的查杀，个人的U盘也尽量不要拿到公用电脑上使用。

由于本人杀过的毒实在太多，所以记忆难免出错，有可能把别的中毒症状跟这个病毒联系起来了，各位莫怪。当时我在杀这个病毒时，虽然可以手工清除，但是任何一款杀软都不能够恢复被感染的EXE文件和压缩文件，只能删除或者隔离，给本人造成了极大的损失！内流满面啊！

大家多多关注两个注册表项目，很多病毒喜欢在这里写东西达到自启动的目的：
1、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UIHOST 正常为logonui.exe

2、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs 正常为空值

推荐大家使用sreng来检测系统，出了问题也可以把检测结果发到网上寻求帮助，比口述要精确的多。下载地址：
http://www.kztechs.com/sreng/download.html

作者: shomo 时间: 2009-12-2 13:22
再补充一下，在SYSTEM32文件夹下显示所有的文件（包括隐藏文件和系统文件），按照创建时间排列（不是修改时间），如果你最近没装什么软件，那么近期新增加的文件特别是EXE和DLL文件就很可疑。当然之前我遇到过比较厉害的病毒会在SYSTEM32下自动生成8位随机英文字母文件名的DLL文件并且感染每一个进程，这些文件的创建时间会变成2000年4月18号，如果粗看的话很难被发现。

其实与病毒和木马作斗争是很有意思的一件事，后来大家都用GHOST系统了，很多人就懒得杀了，有问题直接重装。。。。或者做好GHOST备份有问题直接恢复。。。。搞的杀毒很不被重视，内流满面啊！。。唉

作者: Daniel.Chan 时间: 2009-12-2 14:54
嘿嘿，寄给我来帮你处理吧

您可以问下musicworm，DC是做什么工作的

作者: shomo 时间: 2009-12-2 16:35
不嫌麻烦的，还不如远程帮他搞呢

作者: Daniel.Chan 时间: 2009-12-2 17:06
专业的软件么，有授权的限制，所以不方便远程帮他处理

作者: shomo 时间: 2009-12-2 17:33

这个问题被复杂化了吗……

作者: 水星人 时间: 2009-12-2 18:50
MQ，你把隐藏的选项给显示出来不就行了吗，病毒被杀掉后，真正的文件被隐藏了，在文件夹选项中选择显示所有文件，看看能不能正常显示出来！

作者: 江涛 时间: 2009-12-2 23:34
显示所有文件夹，被病毒隐藏的文件肯定能显示出来，再把文件夹中所有文件转移出，把原文件夹删除，重建，最后把文件转移到新建文件夹中

作者: 古儿不止戈 时间: 2009-12-2 23:37
是不是每个文件后缀都是：exe，文件包也是。有这后缀的都打不开的，显示都是44K大小，但内容还在的，改后缀吧。

作者: meteorobs 时间: 2009-12-3 15:16
多谢诸位高手的指点！！

望天老弟的推荐的杀毒软件就是好啊，检测查杀之后就基本恢复正常了，下面是运行杀毒软件时的截图

作者: meteorobs 时间: 2009-12-3 15:19
本帖最后由 meteorobs 于 2009-12-3 15:21 编辑

杀毒之后貌似又出现了一个新问题：

打开U盘之后发现里面多了几个莫名其妙的文件，我要删除时弹出提示说是系统文件，删除会对程序或计算机造成影响，下面时当时的截图。

还请诸位高手帮帮看看，多谢！

作者: meteorobs 时间: 2009-12-3 15:22
本帖最后由 meteorobs 于 2009-12-3 15:24 编辑

下面这个神秘文件几乎出现在了每一个文件夹内！！

作者: shomo 时间: 2009-12-3 16:15
懒得打字了，你去下载个删除这种ini文件的批处理吧，U盘里的那个autorun.inf和 .exe直接删除掉就行了

作者: 江涛 时间: 2009-12-3 18:08

杀毒之后貌似又出现了一个新问题：

打开U盘之后发现里面多了几个莫名其妙的文件，我要删除时弹出提示说是系统文件，删除会对程序或计算机造成影响，下面时当时的截图。

还请诸位高手帮帮看看，多谢！ ...
meteorobs 发表于 2009-12-3 15:19

登录/注册后可看大图

这个是免疫文件，防止下次感染U盘病毒的，属正常文件，不用删除，而且你也删不了，只有用U盘病毒杀软才能解除

作者: 江涛 时间: 2009-12-3 18:09

下面这个神秘文件几乎出现在了每一个文件夹内！！
meteorobs 发表于 2009-12-3 15:22

登录/注册后可看大图

这个的确是系统文件，可能你以前没注意过，属桌面配置文件，同样不用删除

作者: meteorobs 时间: 2009-12-3 20:21
貌似LS二位的意见相左了？？

shomo 同好说要删除那俩文件，江涛同好却说一个是免疫文件，一个是系统文件，都不用删除。。。

作者: eventime 时间: 2009-12-3 22:52
删！建议把*_1.ini全部删掉。

作者: shomo 时间: 2009-12-3 23:34
为什么这么多的U盘病毒？因为很多很多的电脑都设置了自动播放，当U盘插进去之后会自动打开，这样通过一个autorun.inf文件就可以随着U盘打开启动病毒程序，之所以autorun.inf没被杀软清除，是因为它本身不是病毒，只是确保U盘打开时病毒程序能被运行，比如你杀掉的那个MS-DOS.COM文件，当然没有自动播放手动打开的话也会中毒，有时候还会在各个本地磁盘分区下放上autorun和病毒文件，这样你打开相应的磁盘分区也会中毒。但是有一些AUTORUN.INF如江版所言是为了免疫U盘病毒的，这时候是建立了一个名为AUTORUN.INF的不可删除的文件夹，由于WINDOWS不允许文件重名，所以就一定程度上免疫了此类病毒，与INF文件是不一样的，你这里是INF文件，属于杀毒残留文件，删除。后面那个EXE文件看名字就不是什么好东西，删除。

至于Desktop_1.ini这个文件，也是与AUTORUN类似，是病毒的残留，你可以下载一个BAT文件来全部删除，也可以直接搜索出所有的DESKTOP_1.INI全部手工删除。我认为你的系统很可能已经感染了病毒了，建议你用最新的病毒库来全盘查杀一下，很可能所有的EXE都被感染了。

不知道你用什么软件杀毒，我用Symantec Antivirus杀这个没有问题，一开始你的MS-DOS.COM文件都没有被查出病毒来，我怀疑你根本就是在裸奔，按理说RISING也不会这么菜啊！

我这么说你清楚了没有？其实这些内容网上很多的，你搜索一下AUTORUN.INF和DESKTOP_1.ini很多相关的内容。

作者: shomo 时间: 2009-12-3 23:39
转个资料给你参考一下：

http://www.anyliz.com/blog/artic ... ini-virus-clean.htm

作者: wlbx 时间: 2009-12-4 22:48

为什么这么多的U盘病毒？因为很多很多的电脑都设置了自动播放，当U盘插进去之后会自动打开，这样通过一个autorun.inf文件就可以随着U盘打开启动病毒程序，shomo 发表于 2009-12-3 23:34

登录/注册后可看大图

想想MS里面白痴真是不少。如果连运行可执行文件都不会，这种人用电脑也没有什么意思。
这个autorun的设置完全就是给病毒用的。可是自从Autorun这个设置出现以来，到现在，MS的工程师们从来没有想过要改变这一状况。
除了autorun外还有很多类似的设置，都已经沦落到完全给病毒木马使用了，可是MS就是不知道改一改。只会拼命的打补丁，把系统做得一个比一个大。其实都是我们用不着，病毒得得着的。

作者: meteorobs 时间: 2009-12-4 23:22
多谢shomo 兄指点！！

刚才插上一看那些文件没删就自动消失了。。。很奇怪呢~~

我是没有自己的固定电脑，经常在网吧或者朋友家上网，所以就没有安装杀毒软件这个概念了。。

还望大家理解，我的情况比较特殊。。。

欢迎光临牧夫天文网 (https://bbs.imufu.cn/)