在瑞星里看病毒详情里面介绍的病毒是下.
病毒名称 Trojan.DL.Agent.eff 　
病毒分类 WINDOWS下的PE病毒
行为类型 WINDOWS下的木马程序

下载程序到本地执行

该病毒会在所有进程中插入自己的代码，并修改系统关键函数为自己利用，并下载文件到本地执行

查出来的病毒名是一样的

文件名是
1个csrss.exe 路径是csrss.exe>>??\c:\WINDOWS\system32\csrss.exe

2个winlogon.exe路径是winlogon.exe>>??\c:\WINDOWS\system32\winlogon.exe

3个Explorer.exe路径是Explorer.exe>>c:\WINDOWS\Explorer.exe

4个iexploer.exe路径是iexploer.exe>>c:\Program Files\Internet Explorer\iexploer.exe

5个ctfmon.exe路径是ctfmon.exe>>c:\WINDOWS\system32\ctfmon.exe

病毒名全是Trojan.DL.Agent.eff
查毒时候5秒内就显示病毒了

昨天发过一贴.我只上过卡卡社区这个论坛.其他就是上QQ号.
什么都没干.晚上3点多我上来查又查出QQ.exe也有病毒......


下面是用超级主题里【公告】反病毒论坛管理条例及本版常用小工具（2006.1.1更新）
里面的HijackThis1991zww.exe扫描出来的日志



HijackThis_zww汉化版扫描日志 V1.99.1
保存于      9:24:55, 日期 2006-3-24
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\conime.exe
F:\下载加速器\xl\Thunder.exe
C:\Documents and Settings\tch\My Documents\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [ClientQyule] C:\Program Files\Qyule\Qyule.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [FeiyingUpdate] C:\DOCUME~1\tch\LOCALS~1\Temp\~ex18.exe
O4 - HKCU\..\Run: [ClientQyule] C:\Program Files\Qyule\Qyule.exe
O4 - Startup: 腾讯QQ.lnk = D:\Tencent\qq\QQ.exe
O4 - Startup: ADSL优化大师.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - F:\下载加速器\xl\geturl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tencent\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的“工具”菜单项: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {A984ED9F-E8DA-44E5-BC18-C14B9ABEF79D} (photo_uploader Control) - http://upload.photo.163.com/photoup.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D820AF97-6A6D-428C-83CA-0E526A89553F}: NameServer = 85.255.116.156 85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{E59592F9-59D1-4AEC-AFDA-F4DF0BA72681}: NameServer = 85.255.116.156,85.255.112.21
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe




尽快帮我解决..我菜鸟一个,而且最近网络实在受不了...
打网页等半天...

断网，关闭所有的IE进程，
修复下面的项
R3 - 默认的URLSearchHook丢失。用HijackThis修复
O4 - 启动项HKLM\\Run: [ClientQyule] C:\Program Files\Qyule\Qyule.exe
O4 - 启动项HKLM\\Run: [FeiyingUpdate] C:\DOCUME~1\tch\LOCALS~1\Temp\~ex18.exe
O4 - HKCU\..\Run: [ClientQyule] C:\Program Files\Qyule\Qyule.exe

清空临时文件夹~
IE》属性》删除文件（包括脱机文件）》确定

删除下面的文件
C:\DOCUME~1\tch\LOCALS~1\Temp\~ex18.exe

C:\Program Files\Qyule\Qyule.exe
C:\Program Files\Qyule（文件夹）

如果不易删除，可以试试下面的工具及其操作~

使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178

【回复“红树叶ん”的帖子】
查看以下进程的进程模块
是否有可疑文件插入
c:\WINDOWS\system32\csrss.exe
c:\WINDOWS\system32\winlogon.exe
c:\WINDOWS\Explorer.exe
c:\Program Files\Internet Explorer\iexploer.exe
c:\WINDOWS\system32\ctfmon.exe

1楼说的C:\Program Files\Qyule\Qyule.exe
这是青娱乐.应该没什么问题.
我在顶贴看了删除灰鸽子的发放.在注册表里删除了
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
这个.


用HijackThis_zww汉化版扫描日志 V1.99.1扫描出来的
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe


还有有3个病毒.
1个csrss.exe
2个winlogon.exe
3个Explorer.exe
这3个还是杀不掉啊....

【回复“红树叶ん”的帖子】
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
这几项均没有问题

csrss.exe
winlogon.exe
Explorer.exe
这三个本身也没有问题
只是有可疑文件插入了以上三个进程中

引用:

【不言放弃的贴子】【回复“红树叶ん”的帖子】 查看以下进程的进程模块 是否有可疑文件插入 c:\WINDOWS\system32\csrss.exe c:\WINDOWS\system32\winlogon.exe c:\WINDOWS\Explorer.exe c:\Program Files\Internet Explorer\iexploer.exe c:\WINDOWS\system32\ctfmon.exe ...........................

不是可疑,是本来就是.
这几个都是应用程序。带有病毒.
单个找到用瑞星杀不出来.整个WINDOWS杀就杀出来了

这三个本身也没有问题
只是有可疑文件插入了以上三个进程中




那怎么搞??

而且搞的浏览器卡的要死.
还自动跳出网页....竟是些手机图铃啊什么的

【回复“红树叶ん”的帖子】
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载System Repair Engineer 2.0.12.350
导出全部日志

在注册表里删
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

在启动之后瑞星所有监控就关闭...