昨天开始中毒了，说的是个征途的多开外挂。地址是：http://222.189.239.133/down/wg999_down72187397.exe。
这是个可执行文件，一看样子就知道是压缩软件，把后缀名改成RAR，然后用WinRAR打开，解压缩，看瑞星也没有报告病毒，以为没有事情（瑞星是最新的病毒库）。当时看到里面有个Updata的文件夹，解压后不见了，因为瑞星没有报告病毒，也就没有在意。一执行开始重新启动机算机，知道坏了。
重启动后机器开始慢了。打开任务管理器，一看进程300多个。其他的都正常就是Ctfmon.exe，都是他的身影。瑞星防火墙也同时启动了三个。在管理器里面可以把Ctfmon结果，但是防火墙不能结果，但是防火墙可以通过正常情况退出。看服务里面也没有什么可疑的服务。

置顶中下载SREng，运行智能扫描，贴上扫描报告，一次贴不完，分几次贴！

我是不知道你的情况
但是我知道瑞星检查不出压缩软件里面的病毒
只有解压出来它才报告
我真晕~!!!

到Msconfig中看看也没有什么可疑的。到安全模式下，还是一样启动了300多个Ctfmon.exe进程。这些进程可以全部结束，结束后什么也不做，看似一切正常，但是一执行任何程序或者执行什么系统的命令（如删除、查看文件属性等）Ctfmon一会就又到了300多个，在增加的过程中CPU占用率一直是100，等够300多个后，CPU就又恢复正常了，这时只有百分之几。但是如果这时不管他这些Ctfmon，过一会系统就开始失常了，点右键时好像功能（像打开了、属性）等系统自带的都没有了，点开始菜单后只剩下上面的Windows Update几项，程序、文档、设置、关闭等全都没有了。而且点击桌面上的快捷方式也没有任何反映了。
Ctfmon到300多一点后就会自动停止不再增加，这时如果通过任务管理器立即把他们结束了（如果还没有增加到300多一点时就结束Ctfmon进程，他会一直增加下去，结束的时候可以通过结束进程树，这样300多个需要十来次就可以全部结束了，每次的次数也不相同），系统就又看似正常了，开始菜单也是全的，右键也是全的。程序也可以执行，但就是一执行就又开始增加Ctfmon进程了。

不要急，我慢慢给你们说，我为什么要改后缀名，就是为了安全，先解压后才运行的。到安全模式下也不行，到服务里也没有看出什么可疑的服务。干脆通过Msconfig采用诊断启动，把所有的服务、启动都取消了，其中也包扎Win.ini，System.ini中的选项也全部给取消了，在服务中有两个服务是不能取消的：Remote Procedure Call (RPC)和Remote Procedure Call (RPC) Locator这两个不能取消，但是后一个在启动后的状态是停止的。重启动后还是老样子。没有改变。我把系统中能强行结束的进程全部结束完，把Svchost.exe，最后一个结束的时候提示60秒关机，执行个Shutdown -a就没事了。只剩下几个系统必要的进程，但就这还是不行。
我用HijackThis扫描也没有见到什么可疑的点。后来我又把瑞星换成了ewido、卡巴都不行。这三个只有卡巴提示说这个文件中有病毒，对系统进行扫描也查到了一个，提示说已经删除，然后再扫描也没有了，但是还是老样子，没有任何改变。
我曾经到注册表中把所有的Ctfmon有关都给删除了，还是不行。

Logfile of HijackThis v1.99.1
Scan saved at 19:34:20, on 2007-3-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\ctfmon.exe
D:\Program Files\FlashGet\flashget.exe
F:\SYSTEM\hijackthis1991_PConline\HijackThis.exe

O2 - BHO: WebThunder Browser Helper - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - (no file)
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O3 - Toolbar: 快车(FlashGet) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Program Files\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用快车(FlashGet)下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &使用快车(FlashGet)下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - Extra context menu item: 使用Web迅雷下载 - d:\Program Files\Thunder Network\WebThunder\GetUrl.htm
O8 - Extra context menu item: 使用Web迅雷下载全部链接 - d:\Program Files\Thunder Network\WebThunder\GetAllUrl.htm
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: 联想 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.lenovo.com (file missing)
O9 - Extra button: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra 'Tools' menuitem: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\qq\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\qq\QQ.EXE
O9 - Extra button: 快车 - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: 快车(FlashGet) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
O15 - Trusted Zone: easyabc.95599.cn
O15 - Trusted Zone: www.95599.cn
O16 - DPF: {C9E05083-6A2B-452E-B7EF-D6343A175F35} - http://union123.com/online/Microsoft/Miorosoft%20Office.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2007/OL2006.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://password.qq.com/download/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9122A55-CA33-49E1-8D77-2EDBE392C9D4}: NameServer = 202.102.227.68,202.102.224.68
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: 卡巴斯基反病毒6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe

上面HijackThis扫描我要补充几点：C:\ctfmon.exe这个进程是正常的输入法管理程序，一会再给你解释为什么。O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe这个是兄弟打印机的服务。其他就没什么好解释的。

在杀毒的过程中，我见Ctfmon一直增加，我突然想到，把他用别的文件给替换了，才开始就用了Cmd.exe文件替换，这一替换还有点效果。系统重新启动后，只打开了十来个Cmd命令窗口，但是只要一执行程序或一个系统命令就还是会增加Cmd窗口，但是一般一次只增加一两个。其他的就没有什么异常的了。Cmd窗口也可以正常的关闭。既然Cmd可以替换，那么找一个打开后什么也没有程序不是不用一个一个关闭了，我就用Svchost.exe了，把他的名字改为Ctfmon.exe，这一下系统跟正常的没有什么两样，执行程序、命令都正常，看不出来中毒了。但是只有一点就是没有输入法的管理程序了，不能改变输入法了。我就从老Ghost备份中提出Ctfmon把他放到C盘根目录下了。

C:\ctfmon.exe

的确,就这个路径出了 点问题,其他没发现什么不正常的

是LZ故意的吧?

好像是系统文件被病毒文件覆盖了?

楼上说的Sreng我也用过了，但我没有看出什么，还用了Icsword也是没有看出什么名堂。我先把Sreng的报告贴出来，