没招了 有大神吗

alongzhenggang

https://www.52pojie.cn/thread-1488446-1-1.html

原帖在这   从我告诉你下的系统装完也还是会有这个病毒

之前是U盘增生   现在是固态增生   就是一直生成97KB的exe/pif文件   

今天找  有个新说法 是ntfs数据流隐写   咋搞啊    杀软基本都是摆设

lyljj

提供一点小经验，虽然多年没用了。首先要确保U盘和PE干净可靠，进PE后不要运行电脑硬盘里的文件，想省点事可以提前在U盘准备一个绿色版的大蜘蛛（Dr.Web CureIt）全盘查杀尽量消除全盘感染型病毒。用bootice重建引导，用autoruns查看电脑离线系统的开机启动项目，这个需要足够的经验能辨别什么是正常程序什么是可疑软件，一般病毒或流氓软件总会添加一些开机启动项目但可能隐蔽很深，普通的管家助手查看开机自启动项目没有autoruns看的全面。自己有经验辨别了，再靠PowerTool这类工具辅助清理，应该说没有什么干不掉的病毒。

Tokeii

sality病毒
专杀软件
链接：https://pan.baidu.com/s/1lX7bsYQrgVkZPny6g4AwAA
提取码：7e4j

alongzhenggang

Caitingting 发表于 2021-9-17 15:37
我有个偏方，就是你电脑在正常运行的时候，忽然把插头拔了！
然后过个半分钟再重新通电用光盘进光盘的PE， ...

你这 骗  偏到哪个国家去了       非洲


          我要的是找到病毒源

                                      其他的基槽基本操作我都会

alongzhenggang

索马里的海贼 发表于 2021-8-19 10:03
好家伙，说的我都想中一次了。确保镜像和PE都是干净的，直接进PE应该问题不大吧？

估计很难  我找不到来源  所以没法确定  是哪个带来的  
否则可以发个样本  或者是我没找到方法提取  刘锡勒没有技术的类

生成的exe/pif大小都是97kb  名字随机  附带一个autorun.inf   但是有时候不晓得触发了什么机制

会一直生成  

刚开始用搜索软件搜autorun.inf   以往中招基本同名的病毒好像子文件里面也有  就馊了两三次  用WinRAR压缩 autorun.inf 和exe/pif文件
突然发现搜索软件快捷方式提示删除  然后去目录里看到WinRAR主程序也没了
这就慌了  本来只要不影响用  有毒就有毒吧  会删文件就脑壳痛啊   就换了别的系统  然后做了autorun.inf 防御  貌似消停了


最近文件使用会很卡 失灵打不开    又开始折腾   
在这装系统过程中  
会关闭隐藏选项  会自己删除  开始是pe杀毒发现U盘增生  16G pe盘2200多  512鱼  假盘4000多   
大概1分钟2到三个EXE/PIF生成 很有规律  

昨天是固态增生  固态分了两个区C E  大概两个小时内生成了200左右  C盘格式化了也有   PE启动boot分区也有

有一次插移动硬盘刚把隐藏选项打开就看到生成又删除了       

内网感染？U盘携带？  另一台电脑也中招了  但是我自己的电脑暂时没事  
另一台中招的s





[AutoRun]
;oaTYnCryqvrqotn
;ORXLkpdJWqb vnbomplIoqcgwYVCJnnlQPn
sheLL\oPEn\cOMmAnD =snckw.pif
;
oPen= snckw.pif

;aetyB hfWhss IOssgc MYqlHlQeccxmtUql
sHELl\explorE\COMmAnd = snckw.pif
;NErlgdldM
ShElL\OPeN\defaulT=1
;ygYSWn
sHell\AUtopLay\coMMand=snckw.pif

啊啊啊啊啊啊

1、确保U盘和PE没问题
2、连上电脑的硬盘全部格式化

中国卢沟桥

这个得好好弄一弄了。

binyue1985

从没有遇到过如此流氓的病毒，改明儿让我也中招试下，然后亲身体验看看怎么解决，病毒这玩意，不自己中招经历下，根本不知道如何实质性的解决问题

cnaaronchan

病毒在隐藏的启动分区有引导，直接对感染的硬盘全部重新分区后格式华。

不知道改成啥

引导区病毒，得去PE下重新初始化硬盘，只清除分区没用。

kll545012

感觉你U盘不干净，进PE里都能生成，那估计就是U盘带进去的？去MSDN上下个原版镜像，找个干净的电脑，刻录个光盘，然后把全盘低格，这样应该行，你要是想留数据，那这个病毒估计你是清理不干净~~

loliconRoot

Sysinternals里说不定有工具可以用

lyljj

如果是ntfs数据流并且全盘感染的话手动处理会比较麻烦，好多年没玩这种手动杀毒了，只记得当初PowerTool、WIN64AST等很多工具都能显示ntfs数据流，自从win8、win10出来后这些小工具貌似都没人更新制作了，也可能是我没去关注所以以为没了。
建议你在干净的机器上重新处理一个U盘做PE，要先保证这个U盘是干净没有被感染的。然后用U盘启动进PE，重建电脑的引导区避免有引导区病毒。如果能找到可用的PowerTool的话，手动删除大于4G文件的ntfs数据流，在不运行电脑硬盘上所以文件的情况下，把清理干净的大于4G的文件复制出来备份，然后剩下的分区都转成fat32吧，ntfs数据流不能存在于fat32分区，这样就把所以小文件可能存在的ntfs数据流清理掉了，然后再转回ntfs就行了。

kicebeauty

建议重建MBR