小弟系统突然出现所谓数据保护,然后各个程序狂出错误关闭,重新装系统后故障依旧.且开机后诺顿自我保护无故被禁用,进程中出现多个相同进程SVCHOST.而且宽带无法连接.欲哭无泪ING

http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来

Logfile of HijackThis v1.99.1
Scan saved at 14:29:19, on 2006-7-7
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\tools\qq\QQ.exe
D:\tools\qq\TIMPlatform.exe
D:\tools\xunlei\Program\Thunder5.exe
D:\tools\winrar\WinRAR.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOCUME~1\asd\LOCALS~1\Temp\Rar$EX11.813\HijackThis.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\tools\qq\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\tools\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\tools\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\tools\qq\SendMMS.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com.cn/webscanner/kavwebscan_unicode.cab
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} (金山毒霸在线产品升级) - http://zs.kingsoft.com/KOSInit.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C34A9C62-DD43-4330-9BF7-47FA2E52C933}: NameServer = 202.106.46.151 202.106.0.20
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

这就是日志了,我刚刚重新装拉系统,每次重装了以后一般5天之内就会出问题.谢谢,不胜感激

描述得很离奇，日志看不出问题
请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完，分次粘完，请不要修改。

看看命运里的金色的这段话：你是否有相同的症状或经历？


发现最近几天有不少用户反映这样一个情况：在网上查找资料，下载了一个软件运行，运行后发现电脑里WORD等文档消失，而且会出现一个文本文件，内容大致是说因为什么什么原因什么什么故障硬盘数据损坏，请点击“开始” ->“所有程序”->“附件”->“修复硬盘资料”来修复硬盘数据，而这个“修复硬盘资料”就是恶意程序本身，打开它如图所示（见附件），要求汇款来恢复文件。前几天看到一个50多元的，今天发现有99元的，真是抢钱啊。

今天下午CISRT通过对一受害用户的实地查看，发现一些更进一步的信息，现在整理如下：

用户从网上下载的文件本身就是一个恶意程序，运行后会搜索.doc、.xls、.rar、.zip等文件，把它们移动到一个新建目录下，并通过隐藏文件和CLSID做了简单的隐藏。

恶意程序在各分区的根目录建立名为 控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D} 的目录，系统+隐藏属性，把各分区（包括子目录）下的.doc、.xls、.rar、.zip文件复制到这个目录下，并给文件都设置了 系统+隐藏 属性，在“我的电脑”里就算显示了所有文件和受保护的操作系统文件也只能看到那个目录显示为“控制面板”，双击它就会跳转到“控制面板”去，无法查看到其中被隐藏起来的文件。

恶意程序复制到%System%\Redplus.exe，快捷方式“修复硬盘资料”于“附件”：
X:\Documents and Settings\All Users\「开始」菜单\程序\附件\
打开它就如图所示（见附件）。

这个恶意程序运行后会结束除了一下系统进程以外的所有进程，生成并打开几个文本文件，桌面上“拯救硬盘.txt”的内容大致为：



CODE:[Copy to clipboard]1. 你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写
2. 你必须使用磁盘修复工具拯救找回丢失的资料文件
3. 但是，你正在使用的不是正版软件，是盗版
4. 你必须拯救修复丢失的资料，并且尽快购买正版的软件，
5. 点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ]
6. 为了确保你能尽快修复全部资料，必须在两小时内迅速办理,
7. 按以上方法做的，一定能修复的资料包括:
临时目录下“Sunhay.txt“的内容大致为：



CODE:[Copy to clipboard]网络下载过程中受电磁信号干扰，数据中有错误

不能打开, 请关闭
在这里CISRT要告诉大家的是，对于这种简单的屏蔽，要恢复也不是很困难，使用 WinRAR 就可以看到 控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D} 目录里的文件和目录，子目录结构也没有变化，被隐藏的文件可以直接复制出来。

在 WinRAR 里把 控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D} 目录的名字修改一下，随便改成什么，去掉后面那串 .{21EC2020-3AEA-1069-A2DD-08002B30309D} 就行，再到文件夹选项里设置好显示所有文件和受保护的操作系统文件，这样在“我的电脑”里就可以直接看到那些文件了，把它们复制出来到原来的目录，去掉它们的系统+隐藏属性即可恢复。

怪怪，网络抢劫啊

真是为钱疯了

可能不是这个...

好几个正常,不是病毒

引用:
【rural的贴子】小弟系统突然出现所谓数据保护,然后各个程序狂出错误关闭,重新装系统后故障依旧.且开机后诺顿自我保护无故被禁用,进程中出现多个相同进程SVCHOST.而且宽带无法连接.欲哭无泪ING ........................... 楼主之前是操作了什么？我也试过是这样的情况，点击任何程序都是数据保护，连我的电脑也打不开，说出错发送报告给微软，没法上网等，不过我用还原软件GHOST恢复后就可以正常使用了