拜托，我现在真的很无奈，帮帮我吧



这是我在瑞星的站上摘录的
《瑞星升级报告：17.24.51 版新增 35个可查杀病毒》

以下的情况跟我一模一样！所以我怀疑我就是中了这个病毒！请高手一定帮忙仔细看看

2.Trojan.Reper.h
破坏方法：木马

1.病毒启动后将自己先拷贝到windows目录下命名为VIEWER.EXE ,拷贝到系统目录下命名为 N0TEPAD.EXE 注册为服务进程在后台隐藏运行。

2. 注册表中添加一项自启动项如下：
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"runreper" = %WINDOWS%\VIEWER.EXE
修改txt文件的文件关联
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) = %SYSTEM%32\N0TEPAD.EXE %1

3.启动一个线程不停的在系统中搜索含有下列字符串的进程并将其强行结束:
"regedit.exe"
"taskmgr.exe"
"cmd.exe"
"ntvdm.exe"
"proc"
"毒"
"木马"
"杀"

4.设置一个时钟，每隔1.2秒就对当前的系统逻辑分区遍历一次，每遍历到一个逻辑分区就将病毒文件写入分区的根目录，并命名为 reper.exe 然后写入一个 autorun.inf 文件，这样只要每次通过双击鼠标打开一个分区时病毒文件就会被运行。遍历完分区后病毒会重新写入注册表的启动项和txt文件的关联项，因此只要病毒进程没有被结束的话注册表和各个分区的中的病毒文件就不能被彻底清楚。

5.由于此病毒不停的监控逻辑分区，因此一些移动盘接入被感染的系统后也会被写入病毒文件和inf文件。


原文（全部）可以查看下面链接




我尽可能提供的自己的情况如下：


我的系统：winXP系统（买电脑附带的正版win，应该没有问题）

操作步骤：
C盘格式化重装了（后来上网搜了一番，好象说这个病毒重装系统没有用= =）
打开E盘，装了瑞星，上网升级到最新版本，全面杀毒（一个病毒都没有= =）

目前状况：
window文件夹下有viewer.exe文件
system文件夹下面有notepad.exe文件
所有分区的根目录下都有reper.exe文件和autorun.ini文件

中间还做了点事……忘记了= =（大概就是把瑞星删了又装、再杀毒之类的）
然后，就出现下列状况
我原来还有个“木马杀客”的执行文件，一开始是打开的瞬间就被关闭的，然后不知怎么的可以装了
viewer文件也可以删除了（开始也是不可以的，说是正在运行什么的）
注册表编辑也可以打开了，我删除了里面的那个run什么的键值，记事本的关联也用瑞星的注册表修复了
所有分区的根目录下的reper.exe和autorun.ini（两个隐藏文件）也都粉碎了


但是，重启……viewer和reper文件全都回来了


我觉得很不理解！瑞星已经说能删的病毒，为什么查不出来也删不掉呢？？

对了！！还有个非常奇怪的问题！！
我没重装系统之前，瑞星也还没升级到最新版本（我并不是记得天天升级的＝＝）
那时还能查杀viewer掉病毒的！！
（虽然解决不了实际问题－－，但它好歹知道那是病毒的复制体.....）
但是现在升级到最新版本后反而查不出来了……
我又装回原来的版本也还是没用…………
这到底是怎么回事…………



啊啊啊啊，哪位来救救我吧，我快要随我的系统一起崩溃而去了

http://forum.ikaka.com/topic.asp?board=28&artid=6979213四楼下载System Repair Engineer 2.0.21.505（RC2）导出全部日志

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe>  [Microsoft Corporation]
    <MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background>  [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32>  [Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [Microsoft Corporation]
    <NvCplDaemon><RUNDLL32.EXE NvQTwk,NvCplDaemon initialize>  []
    <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>  [RealNetworks, Inc.]
    <MSPY2002><C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC>  []
    <Microsoft (R) Windows Update Manager Tool><C:\WINDOWS\update\updmangr.exe>  []
    <RfwMain><"F:\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <RavStub><"F:\Rising\Rav\ravstub.exe" /RUNONCE>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  []
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]

==================================
启动文件夹
服务
[IMAPI CD-Burning COM Service / ImapiService]
  <C:\WINDOWS\System32\imapi.exe><Microsoft Corporation>
[NVIDIA Driver Helper Service / NVSvc]
  <C:\WINDOWS\System32\nvsvc32.exe><NVIDIA Corporation>
[Rising Proxy  Service / RfwProxySrv]
  <f:\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService]
  <f:\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter]
  <"F:\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[RsRavMon Service / RsRavMon]
  <"F:\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
[Windows Update Manager Tool / UpdateManagerTool]
  <C:\WINDOWS\update\updmangr.exe /updatemgr><N/A>

==================================
浏览器加载项
[@shdoclc.dll,-866]
  {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[电台(&R)]
  {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\System32\msdxm.ocx, Microsoft Corporation>

==================================
正在运行的进程
[PID: 564][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 628][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 652][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.29 (xpclnt_qfe.010827-1803)>
[PID: 696][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 708][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 892][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 992][F:\Rising\Rav\CCenter.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 3>
[PID: 1008][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1212][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1336][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2600.0000 (xpclient.010817-1148)>
    [C:\WINDOWS\system32\RavExt.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 21>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [F:\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll]  <Alcohol Soft Development Team><1.3.5.1125>
[PID: 1352][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1380][F:\Rising\Rav\Ravmond.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 1, 26>
    [F:\Rising\Rav\BWList.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 19>
    [F:\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
    [F:\Rising\Rav\RSAPPMGR.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 2>
    [F:\Rising\Rav\CfgDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [F:\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [F:\Rising\Rav\RsLog.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 20>
    [F:\Rising\Rav\HOOKSYS.dll]  <Rising><18, 1, 0, 9>
    [F:\Rising\Rav\Scanner.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 30>
    [F:\Rising\Rav\libload.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [F:\Rising\Rav\VirusLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [F:\Rising\Rav\regmon.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 6>
    [F:\Rising\Rav\HookWeb.dll]  <rising><18, 0, 0, 1>
    [F:\Rising\Rav\MemMon.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 9>
    [F:\Rising\Rav\expscan.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [F:\Rising\Rav\mPorts.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 3>
    [F:\Rising\Rav\MailMon.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
    [F:\Rising\Rav\SpamEng.dll]  <N/A><18, 0, 0, 6>
    [F:\Rising\Rav\engine.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 30>
    [F:\Rising\Rav\PostTrt.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 9>
    [F:\Rising\Rav\UnExe.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 11>
    [F:\Rising\Rav\ScanExec.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 11>
    [F:\Rising\Rav\ScanEx.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 11>
    [F:\Rising\Rav\NvFile.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 7>
    [F:\Rising\Rav\ScanMac.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 8>
    [F:\Rising\Rav\ScanSct.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 17>
    [F:\Rising\Rav\Unpacker.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 3>
    [F:\Rising\Rav\ExtOLE.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 6>
[PID: 1448][f:\rising\rfw\rfwsrv.exe]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 32>
    [f:\rising\rfw\RfwRule.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 13>
    [f:\rising\rfw\rfwlog.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 6>
    [f:\rising\rfw\Rfwdrv.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 21>
    [f:\rising\rfw\MonDrv.dll]  <rs><1, 0, 0, 4>
    [f:\rising\rfw\ProcLib.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 9>
    [f:\rising\rfw\mPorts.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 3>
[PID: 1564][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.0 (XPClient.010817-1148)>
[PID: 1696][F:\Rising\Rav\RavStub.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 16>
    [F:\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
    [F:\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
[PID: 1760][f:\rising\rfw\RfwMain.exe]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 51>
    [f:\rising\rfw\RsGuiLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 23>
    [f:\rising\rfw\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [f:\rising\rfw\PngDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
[PID: 472][C:\WINDOWS\System32\nvsvc32.exe]  <NVIDIA Corporation><6.13.10.2841>
[PID: 508][C:\WINDOWS\update\updmangr.exe]  <N/A><N/A>
[PID: 1424][C:\Program Files\Common Files\Real\Update_OB\realsched.exe]  <RealNetworks, Inc.><0.1.0.3249>
[PID: 1732][C:\WINDOWS\System32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1780][C:\Program Files\Messenger\msmsgs.exe]  <Microsoft Corporation><4.0.0155>
[PID: 1920][F:\Rising\Rav\RavMon.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 1, 28>
    [F:\Rising\Rav\RsGuiLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 24>
    [F:\Rising\Rav\BWList.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 19>
    [F:\Rising\Rav\RSAPPMGR.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 2>
    [F:\Rising\Rav\CfgDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [F:\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [F:\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
    [F:\Rising\Rav\PngDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
[PID: 2072][F:\Rising\Rav\RsAgent.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 12>
    [F:\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
[PID: 2088][C:\WINDOWS\msagent\AgentSvr.exe]  <Microsoft Corporation><2.00.0.3422>
[PID: 3912][C:\Program Files\Internet Explorer\iexplore.exe]  <Microsoft Corporation><6.00.2600.0000 (xpclient.010817-1148)>
    [F:\Rising\Rav\RavScrCh.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 3>
    [C:\WINDOWS\System32\macromed\flash\swflash.ocx]  <Macromedia, Inc.><5,0,42,0>
[PID: 3884][E:\tool\sreng2(病毒日志)\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

运行(双击)System Repair Engineer，点“启动项目，服务，点“Win32服务应用程序”勾选“隐藏微软服务”选中病毒服务Windows Update Manager Tool ，选择“删除服务”点“设置”选择“否”最后重启
重启后
删除
C:\WINDOWS\update\updmangr.exe
你说的那个病毒，瑞星有专杀的
建议你到瑞星主页上下载这个病毒的专杀。
这是我搜来的文章，你看看。
http://blog.donews.com/jiji262/archive/2005/05/23/393752.aspx