微点交流论坛

标题: 这个问题有点蹊跷 [打印本页]

作者: kinas299 时间: 2007-8-23 11:45 标题: 这个问题有点蹊跷

议题作者：sudami
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

今天同学拿了一U盘过来说中毒了,让我帮他看看.

前提: 俺的电脑没有任何病毒.并且期间一直开着"微点主动防御".

状况:
U盘一打开显示已经占用95.4MB,但文件夹下都是空的,根本找不到任何文件

偶打开U盘时候是从标准按钮栏中文件夹打开的,没有双击U盘

而且右击查看U盘,发现很正常,没有autorun.inf病毒的症状期间一直开着"微点主动防御",未有任何病毒提示信息.

------------------------------------------------------------------------------------------------------------------------------------

于是先在CMD下dir /a 看了下,同样显示不了文件

习惯性的将"文件夹选项"中的显示隐藏文件的选项打开,看到了一个隐藏的文件runauto... (2个点)

很自然的知道它是通过 md runauto...\ (3个点) 建立的.于是打算把它先删除掉.

俺电脑是XP SP2的,不能用WIN98下的DELTREE命令,所以先用

Copy code
rd /s/q runauto...\
因为此命令只能删除空文件夹,所以失败了

这个文件夹下还有文件,估计是病毒文件了.

想想看能否去掉runauto..的属性

Copy code
attrib -s -h -r runauto...\
再次失败,提示找不到此文件夹

我还以为病毒用了看不见的字符导致名字不对造成的,于是检验了一下

Copy code
md runauto...\
发现就是这个文件夹,没有特殊字符

--------------------------------------------------------------------------------------------------

在baidu上搜索了半天,遇到同样情况的不在少数,但没找到任何解决方案.

在这里有几点疑问:
Quote:

1. U盘中已经没有病毒(如果有,真不知道它是如何隐藏自己的了),自己电脑上也没有病毒,病毒是如何实现隐藏U盘下的所有文件的.(注册表的那个CheckedValue就别说了,很正常) 是否是虚拟磁盘驱动呢?

2. 关于runauto..文件,用上述方法都没有解决掉.这又是什么原因呢?
如果编程实现,简单的调用DeleteFile循环遍历此文件夹下的文件,能否彻底删除掉此文件夹下的东西和此文件夹呢?
用WINRAR压缩后删除也不行,安全模式下同样不行,纯DOS下暂且还没有试过....

或许是俺太菜了,但实在是解决不了,还忘对这些很了解的大牛们指点一下啊.
谢谢了.

[ Last edited by kinas299 on 2007-8-23 at 11:47 ]

作者: Legend 时间: 2007-8-23 12:03
楼主请您协助我们将这台计算机上的微点安装文件夹下的MP6文件夹复制到桌面压缩后发送到support@micropoint.com.cn我们将做进一步的测试分析
请在来信中附上这个帖子的地址，方便我们跟踪情况，谢谢

作者: gylin 时间: 2007-8-23 15:27
1) 开始->运行->“I:\RUNAUTO...\”，打开该文件夹
2) 删除该文件夹中的所有文件
3) 开始->运行->“cmd“，rd RUNAUTO...\。
试试看:P

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn