瑞星卡卡安全论坛

先前发在别的区了，未果。有版主建议发到这边来试试看，请各位帮忙看看，谢谢了。

现象：系统不定时在C:\Documents and Settings\..\Local Settings\temp\中自动形成无规则命名.exe并自动执行
自动形成无规则命名.exe是12位字母组合。执行过程出现DOS界面，并出现“16位MS-DOS子系统 NTVDM cpu遇到无效指令，CS:0549 IP:0146 OP:63 72 6f 选择“关闭”终止应用程序”

找到该生成的exe文件，后缀改为txt，打开后，内容如下（每个这种文件内容都是一样的）：
<html>
<head>
  <meta http-equiv="Content-Type" c>
</head>
<frameset cols="*" frameborder="NO" border="0" framespacing="0">
<frame name="main" src="http://spcn01.information.com/?a_id=71209&domainname=besta.qqhudong.cn" scrolling="auto">
</frameset>
</html>

瑞星最新版+卡卡助手6+360+windows清理助手查杀无异常。将以上文件上报后，分析结果是非病毒。
Sreng分析结果如下，分析一下也觉得没什么奇怪的东西。

附件: SREngLOG.log (2008-7-19 11:14:59, 62.65 K)
该附件被下载次数 551

有兄弟认为“这个文件是被下载下来的，应该找到下载它的程序，才能解决问题”，所以麻烦大家帮忙分析一下，多谢了！:default15:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; CIBA; MAXTHON 2.0)

操作方法见我签名

删除驱动
[asbp2poa / asbp2poa][Stopped/Manual Start]
  <\??\C:\DOCUME~1\xk\LOCALS~1\Temp\asbp2poa.sys><N/A>
[CMB8100 / CMB8100][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\CertClient.dat><N/A>

啊，非常感谢你的帮助。回去之后我就试一下

删掉第一个了，到现在为止没有出现该现象。第二个没有删。再次感谢

我的电脑现在也有这个问题，每次开机只有不上网就没事，但一上网没有10分钟就会有，16位MS-DOS子系统 NTVDM cpu遇到无效指令，CS:0549 IP:0146 OP:63 72 6f 或16位MS-DOS子系统 NIDVM cpu遇到无效指令，CS:0549 IP:0146 OP:63 72 6f 出现，一共出现3个。我尝试了在驱动中寻找只找到了一个，然后将它删除。我想知道这个到底是什么病毒啊？？谢谢楼主

请上传日志

我的也出现同样的问题但是一直没有解决也没有找到
[asbp2poa / asbp2poa][Stopped/Manual Start]
  <\??\C:\DOCUME~1\xk\LOCALS~1\Temp\asbp2poa.sys><N/A>
[CMB8100 / CMB8100][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\CertClient.dat><N/A>
具体情况请看下面这个帖子
http://bbs.ikaka.com/showtopic-8533773.aspx
我在360论坛已经发帖4个月了一直没有解决，360论坛帖子
http://bbs.360safe.com/viewthread.php?tid=483384&extra=page%3D5
希望高手给看看帮忙解决一下！！多谢了！！！:default3:

[CMB8100 / CMB8100][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\CertClient.dat><N/A>
不是招商银行的吗？