现在是一点盘符,进程就运行N多的IE,盘符也打不开,瑞星,斯机报nin.exe
运行,就是niu.exe  这个是什么毒,更绝的是点盘符后杀软件瑞星也给关了.
我刚格的盘符***一个GHOST时说该盘符autorun.inf存在了,用搜索找不到这个文件
我U盘也中,在不打开情况下用瑞星杀不到
大家帮我想想办法,要用什么专杀才能搞定这个毒

谢谢大家

用搜索找不NIU.EXE这个文件

可能是禽兽

http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM

先下载运行一遍


再 下载SREng  扫描一个log贴上来,,扫描时请尽量关闭其他手动打开的程序

解压sreng2.zip-->运行SREngPS.exe-->智能扫描-->扫描-->保存报告

把报告(SREngLOG.log)完整贴上来  注意不要作任何改动!!      [全选(Ctrl+a)-->***(Ctrl+c)-->粘贴(Ctrl+v)]

如果发现不能运行SREngPS.exe，请删除已下载的,重新下载解压后先将SREngPS.exe重命名为abc.com后再运行.

Quote:

清除办法：
一、清除病毒主程序
下载冰刃 http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng http://download.kztechs.com/files/sreng2.zip
1.解压IceSword122cn.zip把Icesword.exe改名为1.com
运行 切换到进程窗口
结束%system32%\crsss.exe进程 （注意是crsss.exe不是csrss.exe，一定不要搞
错）
2.点击左下角文件按钮 删除如下文件
%system32%\crsss.exe
和每个分区下的niu.exe和autorun.inf（一定不要落下这一步）
二、修复被病毒破坏的系统
1.打开sreng
启动项目            注册表
删除所有红色的IFEO映像劫持项目
并删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
                {crsss}{C:\WINDOWS\system32\crsss.exe}            [N/A]
2.还是sreng中
系统修复-Windows Shell/IE
勾选如下项目
允许在Windows 2000/XP/Server 2003中使用任务管理器
设置主页为"about:blank"
允许Internet Explorer选项窗口和选项窗口的所有内容
然后点击修复
3.sreng中
系统修复-高级修复
修复安全模式
4.找一台未被感染病毒的与中毒电脑系统相同的电脑 导出未中毒电脑的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\A
dvanced\Folder\Hidden整个键的内容
并在中毒电脑中导入
XP系统可以把下列文字拷入记事本 然后重命名为1.reg 双击导入注册表
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex
(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
 
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53
,00,\
 
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00
,00,\
            00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva
nced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva
nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

三、清除病毒下载的木马（由于下载的木马随时变化，所以本文中的方法仅供参考）
1.首先重命名如下文件
C:\WINDOWS\system32\kvmxdma.dll
C:\WINDOWS\system32\rsmycpm.dll
C:\WINDOWS\system32\kvdxcma.dll
C:\WINDOWS\system32\avwgcmn.dll
C:\WINDOWS\system32\ratbdpi.dll
C:\WINDOWS\system32\raqjapi.dll
C:\WINDOWS\system32\rsjzbpm.dll
C:\WINDOWS\system32\avzxdmn.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\mypern0.dll
（这些是前面分析过的随机7位dll木马，用重命名***清除）
2.打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”
，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Windows dvne RunThem / dvne

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
acpidisk / acpidisk
系统修复 高级修复 重置winsock

3.重启计算机
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，删除如下文件
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\msavp.dll
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
c:\progra~1\yqiz文件夹
以及你刚重命名的
C:\WINDOWS\system32\kvmxdma.dll
C:\WINDOWS\system32\rsmycpm.dll
C:\WINDOWS\system32\kvdxcma.dll
C:\WINDOWS\system32\avwgcmn.dll
C:\WINDOWS\system32\ratbdpi.dll
C:\WINDOWS\system32\raqjapi.dll
C:\WINDOWS\system32\rsjzbpm.dll
C:\WINDOWS\system32\avzxdmn.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\mypern0.dll
四、使用工具修复受感染的htm等网页文件
最后再次提醒大家一定要关闭电脑的自动播放功能，不要让此类恶性U盘病毒再如，此肆意传播了！

如上所述.

下载中~~~~~~~

autorun 病毒，去下载一个专杀。 下载区就有。。

用windows清理助手或者USBcleaner试试

谢谢以上朋友的热心帮助,最后在DOS下一个个找到NIU和autorun 册了,现在OK了