norton提示“win32.spybot.worm”，
症状：注册表打不开、norton打不开。文件不能显示。hosts文件被修改。
我在system32下找到了病毒文件（mswinhost.exe\snmoo.exe\erase）,到安全模式删除，并且清除了注册表相关项。回到普通模式正常了几分钟后，一切如故mswinhost.exe又复制出来了。
我感觉我没有从根上找到病毒文件，请高手帮忙分析日志。找出毒源！谢谢。


**********************日志，请高手帮忙分析！********************
Logfile of HijackThis v1.99.0
Scan saved at 18:17:16, on 2006-4-4
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\lserver.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\msdtc.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\RTXServer\bin\directory.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\RTXServer\bin\infoserver.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe

C:\WINNT\system32\internat.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\system32\mswinhost.exe
C:\Documents and Settings\Administrator\桌面\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"

《04下面mswinhost.exe这个是病毒我在安全模式下删除，并且清除注册表，回到普通模式又跑出来了，下面的snmoo.exe也是》
O4 - HKLM\..\Run: [WinXPhost] mswinhost.exe
O4 - HKLM\..\Run: [Inom] snmoo.exe
O4 - HKLM\..\RunServices: [WinXPhost] mswinhost.exe
O4 - HKLM\..\RunServices: [Inom] snmoo.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

自己顶~~

C:\WINNT\system32\mswinhost.exe
O4 - HKLM\..\Run: [Inom] snmoo.exe
难 偶不会
你用05版的Norton吗 建议换个06版的杀软

【回复“zq77”的帖子】

对！是这两个家伙在捣乱。
安全模式下可以删除，也可以请掉注册表项。
之后norton和注册表可以正常几分钟，然后就又开始了。。。。

你的Norton是那个版本的