有谁见过这样的文件吗？

显示全部楼层 · 发表于 2007-4-17 01:39:02

100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统，用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序，用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: SMax4PNP.exe [声卡相关软件。] - C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
100 - 安全 - Process: SMax4.exe [声卡相关软件。] - C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
100 - 安全 - Process: igfxtray.exe [intel显卡相关软件。] - C:\WINDOWS\system32\igfxtray.exe
100 - 安全 - Process: hkcmd.exe [intel显卡驱动相关软件。] - C:\WINDOWS\system32\hkcmd.exe
100 - 安全 - Process: part559.exe [一款还原卡软件相关程序。] - C:\ltdrv\part559.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: SMAgent.exe [一个声卡相关软件。] - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
100 - 安全 - Process: StarWindService.exe [一款虚拟光驱软件相关驱动程序。] - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: conime.exe [console ime ime输入法控制台软件。] - C:\WINDOWS\system32\conime.exe
100 - 安全 - Process: wuauclt.exe [windows操作系统后台程序，用于系统升级。] - C:\WINDOWS\system32\wuauclt.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面和文件管理。] - C:\WINDOWS\explorer.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
O2 - 安全 - BHO: (Alcohol Toolbar Helper) - [Alcohol toolbar  的相关程序。] - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll
O2 - 安全 - BHO: (IeCatch2 Class) - [网际快车IE模块。] - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - 安全 - Toolbar: (FlashGet Bar) - [FlashGet IE工具条。] - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - 安全 - Toolbar: (Alcohol Toolbar) - [Alcohol toolbar 的相关工具条。] - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll
O4 - 安全 - HKLM\..\Run: [IMJPMIG8.1] [微软Microsoft输入法编辑器程序。] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 安全 - HKLM\..\Run: [PHIME2002ASync] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 安全 - HKLM\..\Run: [PHIME2002A] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 安全 - HKLM\..\Run: [TkBellExe] [是Real Networks产品定时升级检测程序。] ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 安全 - HKLM\..\Run: [SoundMAXPnP] [analog device公司声卡驱动程序。] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - 安全 - HKLM\..\Run: [SoundMAX] [analog device公司声卡驱动程序。] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - 安全 - HKLM\..\Run: [IgfxTray] [是Intel显卡配置和诊断程序，会同Intel 810芯片组的集成显卡安装。] C:\WINDOWS\system32\igfxtray.exe
O4 - 安全 - HKLM\..\Run: [HotKeysCmds] [是Intel显示卡相关程序，用于配置和诊断相关设备。] C:\WINDOWS\system32\hkcmd.exe
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O8 - 安全 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - 安全 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O9 - 安全 - Extra button: Windows Messenger(HKLM) - C:\Program Files\Messenger\msmsgs.exe
O23 - 安全 - Service: SoundMAX Agent Service (default) [是Analog SoundMAX声卡产品相关程序。] - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe - (running)
O23 - 安全 - Service: StarWindService [alcohol 120的相关服务项。] - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe - (running)

=======================================

O40 - explorer.exe -  - C:\Program Files\TopDomain\e-Learning Class Standard 4.00\TERMPROC.dll -  - e19b0f7130353b2a61ff5c0fc37ebab5

=======================================

O41 - sptd - sptd - C:\WINDOWS\system32\drivers\sptd.sys - (running) -  -  -
O41 - TDVideo - TopDomain Video Hook Driver for Windows NT/2K/XP - C:\WINDOWS\system32\drivers\TDVideo.sys - (running) - TopDomain Video Hook Driver for Windows NT/2K/XP - Nanjing Universal Networks (U-NET) Co., LTD. - 578c85c99376109ba46b6b11bbb80cc5
O41 - vaxscsi - vaxscsi - C:\WINDOWS\system32\drivers\vaxscsi.sys - (running) -  -  -

=======================================
360Safe.exe=3.2.1.1002
AntiAdwa.dll=3.2.0.1001
AntiEng.dll=3.0.2.2000
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011

=======================================
操作历史报告：
----------查杀恶意软件历史----------

2007-04-15 07:14
查杀恶意软件 - 百度超级搜霸 - 危险 - C:\PROGRA~1\baidu\bar\baidubar.dll

----------全面诊断修复历史----------

2007-04-15 07:14
O6 - 危险 - 禁止IE首页相关设置 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
O6 - 危险 - 禁止IE相关功能 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

=======================================

360安全卫士，彻底查杀各种流氓软件,全面保护系统安全,并赠送正版卡巴斯基V6.0
最新免费下载：http://www.360safe.com

显示全部楼层 · 发表于 2007-4-17 01:42:13

4月16日28号机病毒扫描结果：
所用杀软：卡巴KIS，破解版，最新升级。

已清除: 病毒 Worm.Win32.Viking.du
文件: D:\System Volume Information\_restore{71144D40-2070-415F-A28B-6A2E1375A419}\RP5\A0002354.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\System Volume Information\_restore{71144D40-2070-415F-A28B-6A2E1375A419}\RP5\A0002419.exe
已删除: 病毒 Virus.Win32.Delf.av
文件: D:\System Volume Information\_restore{71144D40-2070-415F-A28B-6A2E1375A419}\RP5\A0003375.EXE/UPX
已删除: 病毒 Virus.Win32.Delf.av
文件: D:\System Volume Information\_restore{71144D40-2070-415F-A28B-6A2E1375A419}\RP5\A0003392.EXE/UPX
已删除: 病毒 Virus.Win32.Delf.av
文件: D:\System Volume Information\_restore{71144D40-2070-415F-A28B-6A2E1375A419}\RP5\A0003393.EXE/UPX
已删除: 病毒 Virus.Win32.Delf.av
文件: D:\SuperDown.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\DriverCheck.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\drvinst.exe
已删除: 病毒 Virus.Win32.Delf.av
文件: D:\System Volume Information\_restore{71144D40-2070-415F-A28B-6A2E1375A419}\RP5\A0004416.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\System Volume Information\_restore{71144D40-2070-415F-A28B-6A2E1375A419}\RP5\A0004417.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\System Volume Information\_restore{71144D40-2070-415F-A28B-6A2E1375A419}\RP5\A0004418.exe
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Chip\VIA\4in1\INSTMSIA.EXE/UPack
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Chip\VIA\4in1\INSTMSIW.EXE/UPack
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Chip\VIA\4in1\SETUP.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Chip\SIS\VXD\setup.exe
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Chip\SIS\VXD\USB\Win9x\SiSFiles\Mp_s3.exe/UPack
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Chip\SIS\IDE\SETUP.EXE
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Chip\SIS\IDE\SISfiles\DMA98.exe/UPack
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Chip\SIS\IDE\SISfiles\HDinfo.exe/UPack
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Chip\SIS\IDE\SISfiles\SisFilter.exe/UPack
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Chip\SIS\IDE\IDE\IdeUtil\PropInstall.exe/UPack
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Chip\SIS\IDE\IDE\IdeUtil\SISIDE.exe/UPack
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Chip\Intel\945\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Chip\Intel\915\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Chip\Intel\845\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Key\Yangtian\YJKP\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Key\Yangtian\SHUIKONG\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Key\TG2132_SK9270\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Key\Qitian\reged.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Key\Qitian\Xboard\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Key\Fourkey\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Key\DX9.0B\DXSETUP.EXE
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Modem\Conexant\WinXP_RPD\HXFSetup.exe/UPack
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Modem\Conexant\WinXP_RPD\Setup.exe
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Modem\Conexant\Win98_RPD\HXFSetup.exe/UPack
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Modem\Conexant\Win98_RPD\Setup.exe
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bja
文件: D:\LX_Modem\Conexant\Win98\HXFSetup.exe/UPack
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Modem\Conexant\Win98\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Modem\Conexant\Win2000_XP\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\VIA\DIAG.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\VIA\X86\setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\VIA\FLASH\FLASH.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\VIA\ETHERTOOL\CE5.0\LOADCEPC.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\VIA\ETHERTOOL\CE4.2\LOADCEPC.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\VIA\EEPROM\EEPROM.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\REALTEK_1000M\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\REALTEK\SETUP.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\Autorun.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\PROXGB\WS0332\PROUnstl.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\PRO1000\WS03XP2K\PROUnstl.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\PRO1000\DOS\netx.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\APPS\TOOLS\DIAGS.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\APPS\TOOLS\IDADAPT.EXE
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\APPS\SETUP\SETUPBD\WS03_32E\SetupBD.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\APPS\SETUP\SETUPBD\WS03XP64\SetupBD.exe
已清除: 病毒 Worm.Win32.Viking.du
文件: D:\LX_Net\Intel\APPS\SETUP\SETUPBD\W98-WS32\SetupBD.exe
已删除: 病毒 Virus.Win32.Delf.av
文件: d:\superdown.exe/UPX
已删除: 病毒 Virus.Win32.Delf.av
文件: d:\system volume

下面还有。

显示全部楼层 · 发表于 2007-4-17 01:43:17

information\_restore{71144d40-2070-415f-a28b-6a2e1375a419}\rp5\a0004416.exe/UPX
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Net\Intel\APPS\PROSETDX\2KXPWS03\DxSetup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Net\Intel\APPS\MAKEDISK\dcreate.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\Lx_Raid\VIA\SETUP.EXE
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Sound\ALC882\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Sound\ALC880\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Sound\ALC\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Sound\ADI\setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\Lx_Tools\Network_Control\MaxControl.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\Lx_Tools\Network_Control\MaxUser.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\Lx_Tools\LX_HDFHQSP2PACH\setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\Lx_Tools\HDD_Protect\Setup.exe
已清除: 病毒 Worm.Win32.Viking.kk 文件: D:\Lx_Tools\DualLAN\setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\VIA\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\UnSiSUSB.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\USB20.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\TW\Q312370_WXP_SP1_x86_CHT.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\TR\Q312370_WXP_SP1_x86_TRK.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\SV\Q312370_WXP_SP1_x86_SVE.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\RU\Q312370_WXP_SP1_x86_RUS.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\PT\Q312370_WXP_SP1_x86_PTG.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\PL\Q312370_WXP_SP1_x86_PLK.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\NO\Q312370_WXP_SP1_x86_NOR.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\NL\Q312370_WXP_SP1_x86_NLD.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\KO\Q312370_WXP_SP1_x86_KOR.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\JA\Q312370_WXP_SP1_x86_JPN.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\IT\Q312370_WXP_SP1_x86_ITA.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\HU\Q312370_WXP_SP1_x86_HUN.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\HE\Q312370_WXP_SP1_x86_HEB.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\FR\Q312370_WXP_SP1_x86_FRA.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\FI\Q312370_WXP_SP1_x86_FIN.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\ES\Q312370_WXP_SP1_x86_ESN.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\EN\Q312370_WXP_SP1_x86_ENU.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\EL\Q312370_WXP_SP1_x86_ELL.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\DE\Q312370_WXP_SP1_x86_DEU.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\DA\Q312370_WXP_SP1_x86_DAN.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\CS\Q312370_WXP_SP1_x86_CSY.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\CN\Q312370_WXP_SP1_x86_CHS.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\BR\Q312370_WXP_SP1_x86_PTB.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\WINXP\QFE\AR\Q312370_WXP_SP1_x86_ARA.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\usb98path\UnSiSUSB.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\usb98path\USB20.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\usb98path\MISC\Patch_98.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\usb98path\MISC\Patch_Me.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\MISC\Patch_98.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\SIS\MISC\Patch_Me.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\INTEL\WinXP\QFE\TW\Q312370_WXP_SP1_x86_CHT.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\INTEL\WinXP\QFE\EN\Q312370_WXP_SP1_x86_ENU.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\INTEL\WinXP\QFE\CN\Q312370_WXP_SP1_x86_CHS.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_USB20\INTEL\Win98\setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\VIA\KM400\WinXP_2K\SETUP.EXE
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\VIA\KM400\Win9X\SETUP.EXE
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\VIA\K8M800\WinXP_2K\setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\VIA\K8M800\Win9x\SETUP.EXE
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\SIS\setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\Nvidia\WinXP_2K\7184\setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\Nvidia\WinXP_2K\6693\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\Nvidia\WinXP_2K\6172\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\ATI\WinXP_2K\8111\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\945G\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\915GV\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\845GV\WinXP_2K\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\845GV\Win9X\Setup.exe
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\845GV\845OS2\drv\PRODUCT.EXE
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\845GV\845OS2\drv\SVGA.EXE
已清除: 病毒 Worm.Win32.Viking.du 文件: D:\LX_Vga\845GV\845OS2\drv\UNPACK2.EXE
已删除: 木马程序 Trojan-Downloader.Win32.Agent.bev 文件: H:\iexplore.exe

报告完毕。

显示全部楼层 · 发表于 2007-4-17 02:22:14

基本没什么还原的希望了
   机房的机器貌似有还原卡的把
   可能还原卡被破坏了
   检查一下ch13入点，看看有没有重定向
   如果是还原软件的话，建议先卸载后再杀毒。
   另外，机房的电脑都是批单子的
   建议在另外任何一台电脑上做ghost镜像，然后还原到这台就可以了。（基本上一个机房的硬件都是统一采购的。）
   如果是大规模的出现这个问题，交叉感染的话，建议先隔离一部分机器，有重要数据的都备份出来（不论是否带毒，都备份出来，数据第一！）
   然后重新格式化一下电脑。
   事实上，经过这样一次浩劫后，即使电脑没有病毒了，里面的文件也差不多被删除光了。系统也在崩溃的边缘了。
一样需要系统重装来恢复（千万不能覆盖安装！！！！！！）
   至于你中的3个病毒，在网上还没有比较完整的手工解决方法，传上来后，方便大家的研究的上报，避免将来再吃那些东西的亏。
   如果您是管理人员的话，或许听了我上面的那些话并不会很高兴，但这个貌似也是事实。基本上，杀毒软件都是以防为主，带毒清除基本不会很干净，而且围巾这中大规模感染的病毒的确会感染很多系统文件，目前，还没有几款杀毒软件能够完全修复被修改和注入的染毒文件的。
   这个，只能对您说声抱歉了。
   如果是服务器的话，那就只能先通过一个中介的备份服务器把数据转移到新的电脑上，然后两台电脑同时运行，等到网络负载低的时候，关闭中毒的电脑，立即重装.
   另外，关闭系统还原后，在安全模式下杀毒也会有比较好的效果。

[ 本帖最后由 ALEXBLAIR 于 2007-4-17 02:28 编辑 ]

显示全部楼层 · 发表于 2007-4-17 02:52:35

感谢你看了我的报告，更感谢你的忠告。
机器是联想D330，有自带的硬盘保护系统。我设置的是C：即时还原，即重启后就还原（你已注意到了，C：没有病毒）。这个病毒已经除掉，系统好象也正常。一个机房里，我是做了几套系统模板备用的。本来用模板还原就好了，可是现在的病毒，侵蚀其他分区，所以简单还原用处不大了。所以在还原之前，必须进行全面扑杀。另外，我对这个病毒好奇，不理解，为什么会生成这么多的奇怪文件？到底是哪一个病毒生成的？如果弄明白了，以后再发现，我就知道这机器是中了什么病毒，如何快速处理了。其他机器没有发现。可惜，我没弄明白，就糊里糊涂的把它给杀了。

还有一个问题想问一下，明天我在卡巴备份库里抓取病毒样本的时候，这抓出来时，会不会把它又弄活呀？如何安全地抓取病毒样本呢？

[ 本帖最后由山无陵于 2007-4-17 02:59 编辑 ]

显示全部楼层 · 发表于 2007-4-17 03:07:46

一般来说，我提取病毒的方法是这样的：
首先关闭卡巴的扫描
接下来，还原备份库的文件到一个空白的目录中，但是不能是根目录，为了防止AUTORUN的激活。
接下来，把所有的文件都压缩成一个ZIP/RAR的压缩包。并删除原文件。这样就可以了。
论坛上传可能会有大小的限制，便于网络的顺畅和商船的方便，一般200KB分一个包比较好。
如果包很多的话，可以发邮件到我的邮箱，
ALEXANDER_BLAIR@163.COM
支持接收10MB的附件，这样就可以5MB分一包，然后我会把那些东西打包上去的，管理员可以发2MB的文件，这样方便大家下载。
另外的，由于提取的文件并不是都有用，所以，只要提取EXE结尾的，
然后，优先提取卡巴提示为删除的（而不是清除）文件，那些文件大多是主要的病毒元
如果没有，可以提取1-5个相同病毒的染毒文件，(EXE/COM/DLL文件优先)
这样算起来，其实只要提取3-15个文件就可以了。

[ 本帖最后由 ALEXBLAIR 于 2007-4-17 03:13 编辑 ]

显示全部楼层 · 发表于 2007-4-17 03:12:10

H:\iexplore.exe
d:\superdown.exe/UPX
D:\LX_Modem\Conexant\Win98_RPD\HXFSetup.exe/UPack
D:\SuperDown.EXE
D:\DriverCheck.exe
D:\drvinst.exe
在病毒 Worm.Win32.Viking.du 中选取5个文件相对较小的一起发上来就好了

显示全部楼层 · 发表于 2007-4-17 03:20:52

先休息了，有什么进展就直接PM我，或者在这里跟帖子，我会尽量回复的。
十分感谢您提供详细的信息和帮助。
这个事件的确有意思。
网上的资料看，其中任何一款都不会有这个症状，可能是相互吵架引起的哦

到时候运行一下，慢慢测试就知道了
晚安！

显示全部楼层 · 发表于 2007-4-17 13:27:01

呵
呵，版主都出来了

希望会有个结果，跟踪，关注～～

显示全部楼层 · 发表于 2007-4-17 18:18:27

原帖由 ALEXBLAIR 于 2007-4-17 03:20 发表
先休息了，有什么进展就直接PM我，或者在这里跟帖子，我会尽量回复的。
十分感谢您提供详细的信息和帮助。
这个事件的确有意思。
网上的资料看，其中任何一款都不会有这个症状，可能是相互吵架引起的哦[:01: ...

ALEXBLAIR先生：我已把病毒样本发往你给的邮箱了。只是这是病毒，不是什么好东东，就不发这里了，免得感染了别的弟兄。

还有一个情况告诉你，我今天打开这台机子，发现E：F：下又出现了这样的文件，不过不多，各12个。一模一样。
看来，卡巴也未把这个病毒全杀死。如果你有兴趣，我就养着它吧。你要什么，我尽量给你捉什么。只是我初干这个捉病毒的活，有点硬手硬脚，做不好。做得粗蛮之处，还望不要见笑。

如果能把你的研究结果，告知一二，更是不甚感激。

[ 本帖最后由山无陵于 2007-4-17 18:19 编辑 ]

[讨论] 有谁见过这样的文件吗？

基本上提取下面的几个文件就可以了