今天办公室好几台计算机中毒了，我的计算机诺顿和360卫士起不来，其他人安装的瑞星也跟我的诺顿一样被病毒关闭
用360卫士可以查到加载了很多流氓软件，杀不掉，多杀几次360卫士自己就起不来了，跟其他杀毒软件一样双击报告程序已经运行
C盘下有AUTORUNS.EXE，但是打不开，报告文件已经损坏，这个文件用各种杀毒软件都杀不掉
在C:\Program Files\Internet Explorer文件夹下有1.pif,2.pif,3.pif......报告是病毒，但是杀不掉
病毒不能杀金山清理专家，用金山清理专家貌似可以清理，但是按要求重启后流氓软件和病毒重新回来

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322)

补充：
安全模式损坏，用安全模式启动自动重启
重装几次系统都没有用，后来发现只要把带毒的移动硬盘插到其他机器上，那么其他机器也中毒，杀毒软件被杀死
用AUTORUNS看，没有什么特殊的加载项

Pif 可以用来指向一个dos程序,也就是dos程序的快捷方式,比如可以连到一个病毒或者
木马.

它自己也可能就是一个蠕虫,让我们深入的研究一下...
[你要会点 DOS 下的 batch 语言(批处理文件) 和 知道怎样使用 Debug]
这里有下面提到的几个pif病毒文件,点击这里下载.在这察看源代码!

[第一章:] - PIF 蠕虫 :
Pif不可以在Win9x下编辑;要生成一个Pif文件,只要右击鼠标,指向"新建"->"快捷方式"
.
会跳出一个窗口,我们在命令行输入 C:\command.com .然后为我们的蠕虫起一个"wormt
est" 的名字,然后回车,OK!
(你也可以使用一个存在的pif文件)
右击 pif 文件,选择"属性"; 接着点击程序.这就是控制 pif 文件的主要场所了.在我们
接着学之前,让我们看看我的
Pif 蠕虫中的几个命令...
例子:
IRC-WORM Elsa:
C:\COMMAND.COM /C copy C:\mirc\download\cuteELSA.JPG.pif C:\mirc\script.ini /Y
C:\MIRC

IRC-WORM Elsa.b:
C:\COMMAND.COM /C copy C:\mirc\download\EmmaPeel.HTML.pif C:\mirc\script.ini
/
C:\MIRC
IRC-Worm.Movie.c:
%comspec% /c copy c:\mirc\download\X_PASS.TXT.pif %windir%\winstart.bat
C:\
IBLIS_FinalVersion:
-------------------
%comspec% /c copy IBLIS_~1.pif ..\script.ini /Y
留个空白
现在,我想你已经大概明白是怎么回事了..
让我们回到我们的 wormtest.pif 文件...
先为你的蠕虫起一个好听的名字.比如: nude.jpg.pif .你只要把你的pif文件改名为nu
de.jpg .
而且pif文件的后缀名一直是可视的,酷啊!(来个sex.jpg , sexwww.txt .来整整那些色
狼)
让我们到pif文件属性中的程序中来...
a- 命令行 :
-----------------
Pif最好的功能之一就是命令行.虽然命令的长度受到了限制,但是我们仍然能做些有趣的
事......
但是重要的一条是,蠕虫文件已经存在于电脑的某个地方了,mIRC 和 Windows的目录都是
我们的
主要攻击对象...
你只能用command.com这个文件来完成我们的作品,你只要看看上面的四条命令,就会理解
了,当然
最后一个也是最好的一个,因为即使不是 C:\mirc\ 目录,它也能把脚本拷过去,而且它也
是最小
的一个 :) .如果你要把 pif 文件拷成mIRC的脚本文件,那么你就要编辑它,加入一些
脚本命令;如果你把pif拷贝到winstart.bat,那么就需要一些dos命令...
只要仔细看看上面下载的4个pif文件,你就会明白是什么原理了...
b- 工作目录 :
-----------------
最好的方法就是留下空白 ... ;)
c- 运行 :
-----------------
在这,你必须要选择一项,蠕虫运行的时候,就会跳出一个窗口,不用担心 :)
d- 改变图标 :
-----------------
这是一个非常好的功能,我建议你选择一个大家熟悉的windows下程序的图标,比如画图,
记事本...
通过这些属性,我们就可以把一个没用的快捷方式改造成一个非常好的蠕虫程序 :)
最后的工作就是编辑 pif 文件,加入一些脚本或者 dos 命令.打开和编辑pif文件,要通
过dos下的 edit 来完成.你可
以在蠕虫中加入一些命令,当把script.ini文件拷到 mIRC 的目录下的时候.mIRC.exe 就
会加载它,并且运行指令.
bat文件的原理也是一样的.
注意要点:
-------------
* 在windows启动时自动运行.
* 保存一个备份文件(不是蠕虫的主程序,否则可以轻易的删除掉).
* 要隐藏的很好,不能被发现
* 目标是 Mirc & Pirch

[第二章] - 传播 病毒 或 木马 :
那么你是怎样通过pif文件来远程安装木马和传播病毒的呢?
其实这很简单,你只要做一个像下面这样的 pif 命令行 :
%comspec% /c copy sexbmp~1.pif %windir%\winstart.bat
C:\
把 pif 的文件名改成 sex.bmp, 编辑它.把你的病毒或者木马转换成 Debug 脚本.
Pif 文件将会把自己拷贝成 winstart.bat 在 %windir% 的目录中,下面就简单了...
你还要加入一些 debug 脚本到 winstart.bat 中,和其它的一些功能.(如让 windows 启
动时自动运行).

注意要点:
------------
- 首先,把你的病毒或者木马转换成 debug 脚本
- 把 debug 放到 winstart.bat 文件中
- .bat文件中包含了 debug 脚本
- 接着,他就会运行 Debug 通过 debug 脚本来生成 exe 文件
- 最后,运行 exe 文件,或者修改注册表来运行它.

总结:千面杀手杀手的木马应该是保存在pif文件中的,它应该是由作者自己写的,应为de
bug脚本是越小越好.所以普通杀毒软件应该能够应付.至于传播可能使用了泡沫男孩和美
丽沙的传染方式,通过e-mail传播,也可能使用了最新的微软的Outlook 的漏洞. 总之,大
家不要闻毒丧胆.病毒只是一个优秀的小程序.

用PE启动
格了移动硬盘试下

重装后不插那个移动硬盘也会中毒吗

我的计算机是只格了C盘重新安装，所以一不小心就又中毒了
同事的计算机是彻底格式化所有分区，但是一插移动硬盘就中毒了
我们两个搞了近一天，重装了几次系统都没有找到办法
其他人的计算机任病毒运行，计算机慢得跑不动了

不用全部格式化的，楼主电脑应该是中了MSDOS.exe变种
请参考这个帖子http://bbs.ikaka.com/showtopic-8528935.aspx
我跟楼主简单说一下autorun这类病毒吧
Autorun病毒是一种比较常见的病毒，通常是通过U盘或者其他可移动设备传播的。你右键每个分区，看是否出来auto之类的选项。有的话就证明你中了autorun病毒。中了autorun病毒的电脑，一般会在每一个分区建立两个隐藏文件：一个是autorun.inf和*.exe。autorun.inf本来不是一个病毒，它只是复杂“告诉”操作系统双击分区执行某一个文件（这里是病毒.exe）。所以中了autorun病毒就算你重装系统（你只是格式化了C盘，删除了C盘的病毒，其他盘的病毒还是存在的），只要你双击打开还残存病毒的分区，就会自动执行病毒文件，使你的电脑再次中毒。我提供的另外一种方法是：重装系统之后，不要双击打开其他分区，使用wsyscheck0223中文版删除其他分区下的autorun.inf和隐藏的**.exe文件

用SRENG（http://www.kztechs.com/sreng/download.html）扫描一份日志上来

像是感染型病毒
病毒感染了非系统区
格系统区之前 先先卸载或终止所有安装在非系统区的，并且开机会自启动的软件
格系统区重装后
请先不要碰任何非系统区的东西
杀软升级到最新 或使用在线杀毒 全盘杀毒
确认病毒清理干净后才能正常使用

ainyblue 的可能是正解，我同事发现了MSDOS.EXE，估计是中了这个病毒了 
我明天去办公室试一下你的破解办法
既然这个是明显的病毒，怎么这么多杀毒软件都拿他没有办法，也没有一个清毒程序来杀，全部手工清理好麻烦哦

要真是中了msdos病毒的话
请楼主阅读http://bbs.ikaka.com/showtopic-8528935.aspx
和http://bbs.ikaka.com/showtopic-8527764.aspx
并且仍建议上传日志