请问一下谁见过这种autorun病毒？

jjj333

第一症状，双击（包括右击“打开”和“资源管理器”）任何盘符都会自动关闭当前窗口后再开出来

第二症状，竟然能穿过影子系统影响C盘

第三症状，ghost回N久前绝对没病毒的版本，winXP下想用“显示所有文件”看D盘下的autorun.inf和相应病毒程序竟然不能显示！请注意，此时没有双击除C盘外的盘符感染病毒！

第四症状，转到dos下，用“dir /ah”终于看到病毒文件（kqqXXXXX.exe，中间XXX名字忘记了）和autorun.inf，但竟然不能del，提示找不到文件 继续用dir还是能看到那2个文件。。。

请问怎么删掉啊？因为是单位的电脑，每个盘上都是实验仪器的记录文件，几万个，备份还原估计一天都做不完，如果能有办法删掉是最好的了，谢谢各位了！！！

promised

请你提取一个样本上来

FBAV

见过 不过找不着了

jjj333

原帖由 promised 于 2007-12-7 18:47 发表
请你提取一个样本上来

windows下即使不感染也无法显示，dos下可见不可删。。。。。怎么提供啊

promised

若winrar不可以查看，那就用icesword，wsyscheck之类的，怎么不能提取
ps: 双击（包括右击“打开”和“资源管理器”）都是错误的办法

458506

你看一下文件权限吧。。不能显示文件是它修改了注册表。。自己手动修改回来。。

然后就是取得文件权限。不行吧话，你去网上搜一下，应该有处理办法。

jjj333

原帖由 458506 于 2007-12-7 19:02 发表
你看一下文件权限吧。。不能显示文件是它修改了注册表。。自己手动修改回来。。

然后就是取得文件权限。不行吧话，你去网上搜一下，应该有处理办法。

大哥啊，我ghost好什么都不开，直接进文件夹选项显示所有文件，其他正常隐藏文件都能看到，就是D、E、F盘下干干净净（这时是直接在地址栏输入路径进去的）

jjj333

原帖由 promised 于 2007-12-7 19:00 发表
若winrar不可以查看，那就用icesword，wsyscheck之类的，怎么不能提取
ps: 双击（包括右击“打开”和“资源管理器”）都是错误的办法

这台机器不是我用的，而且我们实验室电脑全部不能上网，iceword之类一般机器都没有滴吧

winrar的话，我是用acdsee看隐藏文件的，一般如果系统显隐藏被攻掉，acdsee下还是能看到的，但这次。。。。。

各位能不能先交我怎么在dos下搞定啊，反正中毒的有3个盘，我在一个盘上实验，能杀掉么还有2个盘能让我提取样本滴。。。

promised

救助请扫sre日志
单删除盘符下文件解决不了问题

gmen_pliskin

先用attrib 去隐藏属性才能删