瑞星卡卡安全论坛

如题，我的电脑中了这病毒。实在很纳闷。帮我分析分析日志，恳请高手找出个彻底杀毒的办法。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG-9-100.log

下载下列工具：
2000 SP4系统正常文件备份
———————————————————————————————————————
把刚下载的“2000 SP4系统正常文件备份”解压缩，然后按“Ctrl+Alt+Del”键打开任务管理器，结束ctfmon.exe进程，将解压得到的ctfmon.exe文件先复制到C:\WINNT\system32\dllcache文件夹里，再复制到C:\WINNT\system32文件夹里，覆盖同名文件。
———————————————————————————————————————
另有一点要说，2000系统本应该没有ctfmon.exe的，输入法相关文件应该是Inetrnat.exe
如果上面说的那个ctfmon.exe不是你自己修改的，就用附件，运行後点击“使用2K的Inetrnat.exe”
你说的autorun.inf病毒问题，日志中没有体现

附件: win2k-xp.rar

你好，你上面所说的  将解压得到的ctfmon.exe文件先复制到C:\WINNT\system32\dllcache文件夹里，再复制到C:\WINNT\system32文件夹里，覆盖同名文件。可是我下载解压后没看见ctfmon.exe这个文件夹呀。还有win2k-xp.rar这个是什么文件？如何使用？

如果上面说的那个ctfmon.exe不是你自己修改的，就用附件，运行後点击“使用2K的Inetrnat.exe”    用什么附件？

我电脑知识比较菜点，麻烦稍微详细一点点，谢谢

厄...................对了，是没有
2000系统本就没有ctfmon.exe嘛
你就用2楼那个附件就行了

你的意思是说我使用你上传的那个附件是么？然后选择Inetrnat.exe这个选项是么？使用了这个后能起什么作用？

可以清除virus.win32.virut这个文件么？

错了，应该说是可以清除virus.win32.virut这个病毒么？

对的，就用我上传的那个附件，选使用2k的internat.exe
你查到的virus.win32.virut病毒路径是什么啊

好多个，好象有20多个，都被超级巡警给删除了。不一定全部是这个病毒，好象还有什么win32.h？ll这样的

再杀还有吗？如果还有的话给个路径

好似每次使用超级巡警扫描都会发现trojan-downloader.JS.eval.b木马下载器的毒

:default3: 路径在哪？

这是另外一台2000服务器上感染的病毒。
好似使用大蜘蛛和超级巡警都无法根除，请问有啥高招不？系统不能重装。

附件: 20081123_90d7d5a3a428d96a9215JXRlz58UNFJk.jpg

附件: 20081123_e50701db550230e99724nSZQnk9CO32E.jpg

在爱毒霸上他们说是‘在线修复卡巴斯基病毒’。

在哪台有病毒的机器上用sreng扫描日志上传

现在将2台都感染病毒的电脑的sreng日志上传，
其中日志名为8.1805中毒最深，在爱毒霸论坛上说中的是‘在线修复卡巴斯基病毒’
其中日志名为9.1818的所中的病毒中含有virus.win32.virut病毒。
恳请帮我分析分析。

附件: SREngLOG-8.1805.log

附件: SREng-9.1818.log

唉，看来高手明天才上班了。

大侠们去看看我的帖子啊。我求求你们了

眼球兄,去哪了?

:default8:

:default11:

眼球，天月……能人们，你们都来帮我分析分析呀，最新的日志已传在16楼。

第一个日志单从这些残余的无用启动项来看，确实象‘在线修复卡巴斯基病毒’

==================================
启动文件夹
[JZVRZMYJQ3B]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\JZVRZMYJQ3B.lnk --> C:\WINNT\W43XK2Y9A.exe [File is missing]><H>
[D0OIEV0JIFCJ]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\D0OIEV0JIFCJ.lnk --> C:\WINNT\NUOYPU~1.EXE []><H>
[NSE32T]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\NSE32T.lnk --> C:\WINNT\XPG3C665KW1.exe [File is missing]><H>
[BSHQAN53X]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\BSHQAN53X.lnk --> C:\WINNT\MUH6NML.exe []><H>
——————————————————————————————————————————————
第二个日志看

这个文件不知道还是不是系统原文件了，你不动它，只复制一个压缩发来看。
C:\WINNT\system32\ctfmon.exe
————————————————————————————————————
下面这个计划任务里的什么东西，不认识
==================================
计划任务
[已启用] 备份.job
        C:\WINNT\system32\ntbackup.exe
——————————————————————————————————
将第二台电脑反复杀出的病毒文件名和路径说来

关于超级巡警的杀毒问题我不是很懂

只有将反复杀出的病毒文件名和路径说来看看了

关于‘在线修复卡巴斯基病毒’你只有用大蜘蛛杀完后，再安装别的杀毒软件升级后全盘杀毒试了

因为这病毒的感染是不可修复的，所有其他盘被感染的文件，检测到的都删除放弃吧

第二个日志要晚上才能复制了，我现在不在那电脑旁边。
但第一个日志那台电脑在你看来是算安全了么？还是要如何处理隐藏的病毒？该电脑没敢连接网线。一连接网线10分钟左右就会迅速的自动链接大概7.8个网站，然后一杀毒就又出现很多病毒。要如何才能彻底查杀呀。

大蜘蛛如果杀了还不行

你只有试其他杀毒软件了

耐心找些试试吧

还有用防火墙阻止任何不明程序访问网络

然后再连网

我已经把很多文件、软件给删除了。能删除的都删除了，就是不晓得它会隐藏在什么格式的文件里面。像word这种它会去隐藏或感染么？有知道这样的例子么？

没有发现

主要还是利用防火墙来阻止不明程序防问网络以及观察系统里还有什么会非正常运行。

好的。我先用大蜘蛛扫描扫描。
对了，昨天进入安全模式用大蜘蛛扫描，蜘蛛只扫到2/5的时候出现了停滞状态。进度条等半小时都没动。不晓得大蜘蛛是否被感染了。
是否能传一个最新版本的大蜘蛛下载的链接呢？

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

不要纯依赖大蜘蛛

其他杀毒软件也可以下载使用的

例如江民的免费一月的杀毒软件