前几天，中了Realplayer那个病毒，按论坛方法查杀以后，Realplayer病毒没有了，但是系统还是不正常，瑞星发现有毒，但是不能查杀。
svchost中了毒，Rundll32也中了，接着Word、Excel等常用的软件也中了。进程中老是出现login_这种莫名其妙的进程。后来同学推荐用McAfee，升级到最新版，杀毒，杀了五六十个，有几个是关键进程，不能查杀，隔离。重启后立即查杀，无毒，过一阵又有毒了。
Format C盘，重装系统，升级了Microsoft的所有补丁，然后断网，查毒，一切ok。好像很干净的样子。用的是McAfee企业版＋Rising 个人版防火墙。
一插网线，五分钟左右发现自动网络连接，防火墙中查看到是svchost在进行TCP连接，查看详情，TCP State=ESTAB,Local 192.168.0.100:2104,Remote 64.86.136.79:80[WEB网页]发送××××字节，接受XXXX字节。
于是关掉它这个端口，过一会它又换端口自动连接。就这样，它不断连，我不断封端口。
后来又发现Rundll32中毒了，Word、Excel、Foxmail等也中了毒。

附：扫描结果
Logfile of HijackThis v1.99.1
Scan saved at 16:57:38, on 2006-9-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Foxmail\Foxmail.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\tools\HijackThis.exe

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Program Files\XemiComputers\Active Desktop Calendar\ADC.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{67D57D5A-7911-4DC0-A16F-DC44E8868786}: NameServer = 202.96.134.133,202.96.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{67D57D5A-7911-4DC0-A16F-DC44E8868786}: NameServer = 202.96.134.133,202.96.128.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: McAfee Framework 服务 (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

McAfee的扫描日志
2006-9-1216:59:05引擎版本                                                    =4400
2006-9-1216:59:05DAT 版本                                                    =4849
2006-9-1216:59:05EXTRA.DAT 中的病毒签名数量                                  =无
2006-9-1216:59:05EXTRA.DAT 可以检测到的病毒名称                              =无
2006-9-1216:59:05扫描已启动ADMIN\Administrator按需扫描
2006-9-1217:01:19扫描摘要ADMIN\Administrator扫描摘要
2006-9-1217:01:19扫描摘要ADMIN\Administrator已扫描的进程: 27
2006-9-1217:01:19扫描摘要ADMIN\Administrator已检测进程: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator已清除病毒的进程: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator已扫描的引导区: 2
2006-9-1217:01:19扫描摘要ADMIN\Administrator已检测引导区: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator已清除病毒的引导区: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator已扫描的文件: 12015
2006-9-1217:01:19扫描摘要ADMIN\Administrator已感染病毒的文件: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator文件中发现的病毒: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator已清除病毒的文件： 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator已移动的文件: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator已删除的文件: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator未扫描的文件: 0
2006-9-1217:01:19扫描摘要ADMIN\Administrator运行时间: 0:02:14
2006-9-1217:01:19扫描结束ADMIN\Administrator按需扫描

2006-9-1311:03:28引擎版本                                                    =4400
2006-9-1311:03:28DAT 版本                                                    =4849
2006-9-1311:03:28EXTRA.DAT 中的病毒签名数量                                  =无
2006-9-1311:03:28EXTRA.DAT 可以检测到的病毒名称                              =无
2006-9-1311:03:28扫描已启动ADMIN\Administrator按需扫描
2006-9-1311:06:53已移动（清除失败，因为文件不可清除） c:\WINDOWS\rundl132.exeNew Malware.j(特洛伊)
2006-9-1311:12:22扫描摘要ADMIN\Administrator扫描摘要
2006-9-1311:12:22扫描摘要ADMIN\Administrator已扫描的进程: 29
2006-9-1311:12:22扫描摘要ADMIN\Administrator已检测进程: 0
2006-9-1311:12:22扫描摘要ADMIN\Administrator已清除病毒的进程: 0
2006-9-1311:12:22扫描摘要ADMIN\Administrator已扫描的引导区: 4
2006-9-1311:12:22扫描摘要ADMIN\Administrator已检测引导区: 0
2006-9-1311:12:22扫描摘要ADMIN\Administrator已清除病毒的引导区: 0
2006-9-1311:12:22扫描摘要ADMIN\Administrator已扫描的文件: 40747
2006-9-1311:12:22扫描摘要ADMIN\Administrator已感染病毒的文件: 1
2006-9-1311:12:22扫描摘要ADMIN\Administrator文件中发现的病毒: 1
2006-9-1311:12:22扫描摘要ADMIN\Administrator已清除病毒的文件： 0
2006-9-1311:12:22扫描摘要ADMIN\Administrator已移动的文件: 1
2006-9-1311:12:22扫描摘要ADMIN\Administrator已删除的文件: 0
2006-9-1311:12:22扫描摘要ADMIN\Administrator未扫描的文件: 28
2006-9-1311:12:22扫描摘要ADMIN\Administrator运行时间: 0:08:54
2006-9-1311:12:22扫描结束ADMIN\Administrator按需扫描

2006-9-1311:16:01引擎版本                                                    =4400
2006-9-1311:16:01DAT 版本                                                    =4849
2006-9-1311:16:01EXTRA.DAT 中的病毒签名数量                                  =无
2006-9-1311:16:01EXTRA.DAT 可以检测到的病毒名称                              =无
2006-9-1311:16:00扫描已启动ADMIN\Administrator按需扫描
2006-9-1311:24:15扫描摘要ADMIN\Administrator扫描摘要
2006-9-1311:24:15扫描摘要ADMIN\Administrator已扫描的进程: 28
2006-9-1311:24:15扫描摘要ADMIN\Administrator已检测进程: 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator已清除病毒的进程: 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator已扫描的引导区: 4
2006-9-1311:24:15扫描摘要ADMIN\Administrator已检测引导区: 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator已清除病毒的引导区: 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator已扫描的文件: 41569
2006-9-1311:24:15扫描摘要ADMIN\Administrator已感染病毒的文件: 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator文件中发现的病毒: 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator已清除病毒的文件： 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator已移动的文件: 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator已删除的文件: 0
2006-9-1311:24:15扫描摘要ADMIN\Administrator未扫描的文件: 26
2006-9-1311:24:15扫描摘要ADMIN\Administrator运行时间: 0:08:15
2006-9-1311:24:15扫描结束ADMIN\Administrator按需扫描

2006-9-1315:12:35引擎版本                                                    =4400
2006-9-1315:12:35DAT 版本                                                    =4850
2006-9-1315:12:35EXTRA.DAT 中的病毒签名数量                                  =无
2006-9-1315:12:35EXTRA.DAT 可以检测到的病毒名称                              =无
2006-9-1315:12:35扫描已启动ADMIN\Administrator按需扫描
2006-9-1315:14:50已清除 c:\Program Files\Outlook Express\msimn.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:14:51已清除 c:\Program Files\Outlook Express\msimn.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:14:53已清除 c:\Program Files\Rising\Rfw\Setup.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:14:58已清除 c:\Program Files\Rising\Rfw\Update\Setup.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:15:16已清除 c:\Program Files\Thunder Network\Thunder\Thunder.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:15:16已清除 c:\Program Files\Thunder Network\Thunder\Thunder.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:15:16已清除 c:\Program Files\Thunder Network\Thunder\ThunderShell.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:15:16已清除 c:\Program Files\Thunder Network\Thunder\ThunderShell.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:15:33已清除 c:\SQL2KSP4\MSDE\setup.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:15:50已删除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP2\A0000051.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:15:51已删除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP2\A0000052.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:15:51已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP3\A0000057.EXEW32/HLLP.Philis.av(病毒)
2006-9-1315:15:58已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP6\A0000261.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:16:04已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP6\A0000562.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:16:06已删除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000690.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:16:06已删除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000691.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:16:07已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000697.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:16:09已删除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000718.dllW32/HLLP.Philis.dll(病毒)
2006-9-1315:16:10已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000768.EXEW32/HLLP.Philis.av(病毒)
2006-9-1315:16:10已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000769.EXEW32/HLLP.Philis.av(病毒)
2006-9-1315:16:11已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000904.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:16:11已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000907.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:16:11已清除 c:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP9\A0000908.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:16:17已删除 c:\WINDOWS\Dll.dllW32/HLLP.Philis.dll(病毒)
2006-9-1315:21:05已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001078.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:21:06已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001079.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:21:06已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001080.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:21:06已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001081.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:21:06已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001082.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:21:06已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001082.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:21:06已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001082.exeW32/HLLP.Philis.av(病毒)
2006-9-1315:21:06已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001083.EXEW32/HLLP.Philis.av(病毒)
2006-9-1315:21:06已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001083.EXEW32/HLLP.Philis.av(病毒)
2006-9-1315:21:07已清除 e:\System Volume Information\_restore{6895795B-F26C-4D2E-89DD-7914BF979114}\RP11\A0001083.EXEW32/HLLP.Philis.av(病毒)
2006-9-1315:22:06扫描摘要ADMIN\Administrator扫描摘要
2006-9-1315:22:06扫描摘要ADMIN\Administrator已扫描的进程: 33
2006-9-1315:22:06扫描摘要ADMIN\Administrator已检测进程: 0
2006-9-1315:22:06扫描摘要ADMIN\Administrator已清除病毒的进程: 0
2006-9-1315:22:06扫描摘要ADMIN\Administrator已扫描的引导区: 4
2006-9-1315:22:06扫描摘要ADMIN\Administrator已检测引导区: 0
2006-9-1315:22:06扫描摘要ADMIN\Administrator已清除病毒的引导区: 0
2006-9-1315:22:06扫描摘要ADMIN\Administrator已扫描的文件: 42053
2006-9-1315:22:06扫描摘要ADMIN\Administrator已感染病毒的文件: 27
2006-9-1315:22:06扫描摘要ADMIN\Administrator文件中发现的病毒: 34
2006-9-1315:22:06扫描摘要ADMIN\Administrator已清除病毒的文件： 21
2006-9-1315:22:06扫描摘要ADMIN\Administrator已移动的文件: 0
2006-9-1315:22:06扫描摘要ADMIN\Administrator已删除的文件: 6
2006-9-1315:22:06扫描摘要ADMIN\Administrator未扫描的文件: 26
2006-9-1315:22:06扫描摘要ADMIN\Administrator运行时间: 0:09:31
2006-9-1315:22:06扫描结束ADMIN\Administrator按需扫描

C:\WINDOWS\system32\igfxpers.exe这个不认识

PS：下次用HijackThis扫描的时候尽量关闭多余的程序！

中毒了还聊天，不怕号被盗啊！

C:\WINDOWS\system32\igfxpers.exe 这个应该是Dell的驱动程序来的。
没办法，工作要紧啊。重装一下系统就无数个电话过来了。
现在：一是不想所有硬盘都格式化，二是不想病毒传给别人了。
痛苦啊。

1 把系统上开的其他共享关掉
2 把系统还原关掉
3 用专杀工具 http://free.ys168.com/?winw

第一第二点做到
第三个是什么？

McAfee4850病毒库已经能查杀这个病毒了（W32/HLLP.Philis.av）

昨天一天都没有扫描到有病毒了
真高兴
谢谢大家