无奈，朋友的电脑中了威金和FUN.XLS.EXE

过期的可乐

半年前，我帮朋友安装了系统，装完后GHOST。GHOST时机子里只有OFFICE 2003和防火墙
半年后，朋友将电脑拿到我那里的时候，系统已经彻底崩溃了，具体表现，开机进入桌面后，电脑成假死状态，CPU占用100％，硬盘一直在读写，鼠标键盘都动不了。一看进程54个，好多重名的，知道不妙。如是先用一张系统维护盘进入DOS，用了江明的杀毒工具杀毒（病毒库比较旧，20061222），杀了几个木马。再次启动还是跟杀毒前的状态一样，根本不能用。于是用GHOST恢复到了原始状态，此时进入系统，发现隐藏的文件及时让它们显现也看不到。用U盘将虚拟光驱和老毛桃07418的PE拷到硬盘安装，进入PE，发现了这些在WINDOS下无法看到的文件，其中有FUN.XLS.EXE和一些不知名的文件。没有太在意直接删除了。用PE带的卡巴杀毒，竟然提示我9个VKING病毒，清除之，之后，又将D盘文件（图片和MP3）拷到E盘（驱动备份），格式划D盘，之后如法炮制，格式化E盘（之前的备份也没了）。以为这下就可以了，重启再安装KIS621，再次重启进入桌面后机子又成假死状态。以为是KIS问题，进入安全模式又卸载不了。无意中发现FUN.XLS.EXE在运行，启动项里多了两个程序,msime82.exe和msfun80.exe。将它们勾掉（不随机启动）重启后发现还是随机启动了，搜索注册表删除相关项，再次进入系统，没有假死的状态，但是发现机子上的OFFICE 软件不能用了，进入PE发现发现不能用。
今天上网查，才知道FUN.XLS.EXE也是病毒。
唉，都不知道朋友的电脑毒杀干净没有，我现在还不敢点击EXE文件，卡巴也不敢装。
出了格式化硬盘外，还有没有其它的方法，各位，拜托了，偶被它们折磨得不行了。

龙雷之火

最好是重装系统后马上安装卡巴扫描所有非c盘,这中间不能双击其他盘,否则又可能被autorun.inf之类感染,看你的症状像是这类毒,因为用ghost恢复后仍看不到隐藏文件, 无非三种情况:1备份以前就中了毒,2 gho文件被感染了3 你恢复后双击过其他盘,前两种的可能性似乎不大.viking我也中过,卡巴可以杀掉的.

wuyongju

资料不重要就全格了~HOHO~

过期的可乐

用System Repair Engineer扫描的日志：

[Copy to clipboard] [ - ]
CODE:
2007-04-24,22:34:33

System Repair Engineer 2.4.12.806
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    <MsServer><; msfun80.exe>  [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <load><C:\WINDOWS\uninstall\rundl132.exe>  []
    <AVP><; >  [N/A]
    <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Windows Publisher]
    <IMJPMIG8.2><; msime82.exe>  [N/A]
    <IMSCMig><; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>  [N/A]
    <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Windows Publisher]
    <PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Windows Publisher]
    <StormCodec_Helper><; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]

==================================
启动文件夹
N/A

==================================
服务
[AVP / AVP][Stopped/Auto Start]
  <2 - 系统找不到指定的文件。
><N/A>
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

==================================
驱动程序
[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><N/A>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[SiS300i / SiS300i][Running/Manual Start]
  <system32\DRIVERS\sis300ip.sys><Silicon Integrated Systems Corporation>
[Service for AC'97 Sample Driver (WDM) / SiS7018][Running/Manual Start]
  <system32\drivers\ac97sis.sys><Silicon Integrated Systems Corp.>
[SIS AGP Bus Filter / sisagp][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\sisagp.sys><Silicon Integrated Systems Corporation>
[Winbond Infrared Device Driver / WBFIRDMA][Running/Manual Start]
  <system32\DRIVERS\wbfirdma.sys><Winbond Electronics Corp.>

==================================
浏览器加载项
[Web反病毒统计]
  {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll, N/A>
[QQ]
  {c95fe080-8f5d-11d2-a20b-00aa003c157b} <, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ自定义面板]
  <, N/A>
[添加到QQ表情]
  <, N/A>
[用QQ彩信发送该图片]
  <, N/A>

==================================
正在运行的进程
[PID: 468][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 516][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 540][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 584][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 596][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 744][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 812][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 876][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 976][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1056][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1488][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\Audiodev.dll]  [Microsoft Corporation, 5.2.3802.3802 built by: dnsrv(bld4act)]
    [E:\AVP6\shellex.dll]  [Kaspersky Lab, 6.0.0.299]
    [E:\AVP6\MSVCP60.dll]  [Microsoft Corporation, 6.02.3104.0]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
[PID: 1624][C:\WINDOWS\system32\wdfmgr.exe]  [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
[PID: 2024][C:\WINDOWS\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2028][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 296][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 192][E:\sreng2cfan\SREngCFan.EXE]  [Smallfrogs Studio, 2.4.12.806]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1       localhost

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================

过期的可乐

这个扫描是我在用江民，瑞星和网络上流传较为广泛的威金专杀工具在安全模式杀毒后，又用KAV6 移动版（最新病毒库）安全模式下杀毒后扫描的结果。
重启后，发现启动项里还是有msfun80.exe，msime82.exe。之前在安全模式下在注册表中搜速删除过相关信息。
启用WINDOS的搜索功能，发现搜索功能不能用，只有蓝色的小狗。可能注册表被损坏了，不知道怎么修改。因而一直找不到这两个文件的藏身之处。

过期的可乐

问题可能出在Rundl132.exe。由于WINDOS丧失搜索功能，找不到文件rundll132.exe.

yuja

备份重要资料,格盘,恢复系统...

lm099

现在病毒太猖狂了，我一般用U盘时连右键打开都不用，全部用地址栏下拉来打开。