微点交流论坛

标题: 求助：在桌面发现一个隐藏文件 [打印本页]

作者: 眼镜老鸟 时间: 2011-1-18 19:29 标题: 求助：在桌面发现一个隐藏文件

系统：WINXP SP3
已安装瑞星杀毒软件，升级为最新病毒库。
在桌面发现一个隐藏文件，字节0，无法删除或修改。文件名为：CAUNANM9.
当U盘第一次插入接口，会在U盘根目录下，生成以INF类型的文件（夹），字节0 ，且无法删除。
当U盘再次插入接口时，瑞星会报警发现病毒文件，可删除。

系统进程和服务未发现可疑东东。

请哪位大侠帮帮忙，指点一二，不胜感激！

作者: 李莫愁 时间: 2011-1-18 20:01
找个强删工具试试

也可以用xuetr看下桌面那个0字节的CAUNANM9删不掉是被谁锁定的，右键查看锁定状态，有就解锁，没有直接删了就可以了

或者用趋势的那个强制删除工具看看，那个东西支持拖拽，拖进去看下被谁锁定的

U盘第一次插入会写inf文件类型的文件或文件夹也有可能是其他安全辅助类的小工具做的免疫文件

据说瑞星不是带主动防御功能么？指定路径监控，然后删掉桌面和U盘里的文件，再看谁去生成的新文件

xuetr带有很多强悍的功能，有空可以瞅瞅

作者: 眼镜老鸟 时间: 2011-1-18 21:18
谢谢！
我试一试看看。
我曾经在PE下，也无法删除。

作者: littlefritz 时间: 2011-1-20 00:23
根据您的描述，给您几个建议：
1.您可将有关病毒文件发送到virus@micropoint.com.cn，也可以点击本帖下方的签名快速上报样本。
2.您可以观察是哪个程序创建了这个病毒。方法是，下载Malware Defender或者EQ魔法盾，在“文件保护”项目中，创建规则，路径为这个病毒的路径。监视的项目为创建文件和删除文件。当您删除这个病毒的时候，某个程序可能会再次创建它。找到这个程序并提交给微点。
3.试图删除该病毒。您可以使用Unlock软件，对该病毒强制删除。

作者: 眼镜老鸟 时间: 2011-1-22 21:09 标题: 谢谢李莫愁指点，已搞定

XueTr 确实是好东西啊！
能看到平常看不到的东西，能做到平常做不到的事情。呵呵
通过XueTr 发现瑞星的两个关键服务被替换了，在所有分区的回收站中都发现和桌面像似的文件。
解决方法：删除所有回收站，删除可疑服务，卸载看上去可疑的驱动。
安装微点主动防御。
对XueTr 还有很多不懂的地方，学习中。。。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn