瑞星卡卡安全论坛

求助:
现象 ：本机为WIN2000server系统,只要运行的的软件，都会出现一个同名的MDF文件，并且C盘出现了很多例如sc.exe;sca.exe;boot.exe;tmd1.exe
的文件，不能删除 。使用杀毒软件都不能杀死重启后一样。
把硬盘全部格式化后一步步重装系统还是不行,联网后网络造成整个局域网都上不了网；

另试过换了一块新的硬盘（原来的那块硬盘取下来了，只挂了这一块新的硬盘），也是一步步安装的WIN2000server系统，接上网线后，仍然是整个局域网都上不了网。
请教高手。


用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

附件: SREngLOG.log

问你点事

1、你这电脑不连网，其他电脑全部正常？？网络就没问题？？

2、你说把硬盘全部格式化后一步步重装系统还是不行，那么你使用了曾经保留的什么文件没有？？

3、另试过换了一块新的硬盘，也是一步步安装的WIN2000server系统，这还是需要知道你使用了曾经保留的什么文件没有？？

日志已看，是个强感染型病毒，并且是靠杀毒软件不可修复的感染形式。

无奈，只有放弃这台电脑内所有*.exe文件，并且我还不知道是否感染非exe类的其他文件。

下载文件批量提取工具提取下面文件
附件: 文件提取处理器.rar (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

提取：
C:\Program Files\AE82W4I\N154H1ZJP19.EXE
C:\Program Files\0KHB0ZN\3DKW1.EXE
C:\WINNT\system32\MsPMSNSv.dll
C:\Program Files\Common Files\xvchost.exe
C:\WINNT\system32\mojutg.exe

不论提取结果如何，哪怕提取失败，也请压缩发来看看

并且记得将其他盘一运行就有你说的异常的，原本可以单文件运行的*.exe文件，找一些压缩发来

如果文件量过大，就这里选择“标准上传”，然后给准确的链接地址：
http://www.namipan.com/index.php

感谢"天月来了"的回复----呵呵,速度真是太快了

说明:
1、这台电脑不上网的话，其它电脑都能正常上网；(现在还有点怀疑：有一台前台收银电脑也中了这个病毒(之前这台电脑没有安装杀毒软件)，这台收银电脑一直开起的,其它局域网的电脑还是能正常上网的，但是其它互联网的电脑通过VPN进入此局域网时经常连不通)
2、重新系统后，因为要用一个收银软件，恢复了一个收银软件的数据库；
3、同2

1、只有期待文件样本了，这样才能知道是否有哪家杀毒软件能杀，到时候去网内所有电脑杀吧

2、一个收银软件的数据库，我现在只想知道，你新系统进入到底运行了什么，又立即那些程序又被感染了，这才是最主要的。

此毒不感染数据库类文件

除非你运行过曾经保留的什么exe文件，自己细想想，例如驱动安装文件啦什么的。

使用“文件提取处理器.rar ”提取文件，提示“提取文件时出现错误！”

不论提取结果如何，哪怕提取失败，也请压缩发来看看:kaka8:

使用“单个隐藏文件提取处理器”提取了这个文件

附件: MsPMSNSv.rar

C:\WINNT\system32\mojutg.exe呢

唉

都说了不论提取结果如何，哪怕提取失败，也请压缩发来看看

你折腾什么呢？？看这样，你也不懂系统基础操作知识

估计以后清理网络，也费劲了:kaka11:

还有C:\Program Files\Common Files\xvchost.exe文件呢？

又提取了一个，其它几个提取不了

自己到目录下去找，也找不到

附件: xvchost.rar

是的，重装系统时，曾经安装运行过硬盘上的一个网卡驱动

另外，好像有安装WINRAR，后来安装上瑞星——提示WINRAR有病

刚把瑞星升级到最新，再全盘杀毒，瑞星提示N154H1ZJP19.EXE“文件已删除”。
以下的其它的几个文件没有提示“文件已删除”：
C:\Program Files\0KHB0ZN\3DKW1.EXE
C:\WINNT\system32\MsPMSNSv.dll
C:\Program Files\Common Files\xvchost.exe
C:\WINNT\system32\mojutg.exe

有异常的MDF文件，请你指导一下

附件: 异常文件1.rar

原来那几个提取不了的文件，是被瑞星隔离了，现从隔离包里恢复了一些文件，请指导：


望“天月来了”见谅！！！


说明：
1、附件中包含“N154H1ZJP19.EXE”、“mojutg.exe ”及其它被瑞星杀到其它部份病毒文件
2、“MsPMSNSv.dll”和“xvchost.exe”上面已作附件，就不重复发了
3、3DKW1.EXE还没找到，抱歉！

附件: 瑞星隔离的部份病毒文件.rar

还在吗？

那么其他盘运行后就出现mdf文件的那些.exe文件呢？能找到一些么？

12楼附件在线检测结果：
http://www.virscan.org/report/b1b0a61a92435ad3b65442b067bdc96a.html

15楼附件在线检测结果：
http://www.virscan.org/report/4f337a2c56d524e281013d81216eff70.html

其他我就不弄了。感谢提供样本，已联系管理员，瑞星方面估计过几天加库

感谢“天月来了”的帮助

再请教下：“加库”的意思，是不是直接用瑞星就可以完全杀死病毒了吧？不需要把电脑重装系统了吧——我是新手，见谅！

加库后。我这台电脑还需要这样操作吗：
1、先断网；
2、把C盘格式化后再重装系统；
3、恢复数据库；
4、安装瑞星杀毒；
5、连上宽带，将瑞星升级到加库的最新版本；
6、全盘杀毒；
7、完成

流程是正确的。

但是我不知道嘛时候才会加库完毕。:kaka6:

此毒似乎针对国内安全软件做免杀做得很勤快。

曾经安装运行过硬盘上的一个网卡驱动。另外，好像有安装WINRAR。

你要记住，此毒不感染单纯数据库文件。

但是曾经保留的任何exe类文件，网页文件什么的都是易被感染的，你都重装系统了，只要坚持绝不使用原盘文件，就不会在出现此毒。

网内其他电脑也是这样的处理原则。

需要驱动，需要RAR工具什么的，都去官网下载，或者都去光盘里找找使用。

原来的GHO系统备份文件能用不？

除了GHO和SQL数据库，我后来其它什么文件都没用，但还是连网后马上就中招了——可能是其它局域网的机器也中招了，感染速度真是天快。

再顶起来，瑞星啥时候加库呵！！

俺买瑞星可是花了钱的呢呵

自己顶起来,等待瑞星加库.:kaka2:

呵呵，这有什么好顶的，你不顶，瑞星也会加库，你顶也加快不了那过程:kaka6:

加库后,烦请"天月"版主告知,谢谢.

瑞星升级至最新版本，或者明天升级后试试

如果能杀一部分，还有什么不能杀的，就继续来杀不了的样本。:kaka12:

好的,感谢!