不知道什么时候中的病毒，今天早上忽然发现系统时间被更改到2004年，但是月份和日期没有变化，卡卡不断弹出提示说有msrs的病毒，但是却始终无法完全删除。我进入资源管理器，在每个盘符根目录下删除了msrs.exe 和autorun.inf. 可是还是不能完全删除。
后来上网搜索说使用冰刃，可是我还是不太会用，希望有高手可以指点。
我的瑞星天天都全盘查杀病毒，可是去无法找出这个病毒，更不用说能杀死了，这是为什么啊？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

请上传病毒样本，谢谢合作


建议上传日志
重装系统也会重复感染

扫日志前关闭无用进程，如QQ，迅雷及播放器程序

到大的软件站，如天空，太平洋，下载2.6正式版版的SReng（推荐）

http://www.skycn.com/soft/45002.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)
日志以附件上传，贴到反病毒区或流行病毒区
PS：如主程序SREng**.exe无法运行,导致无法扫描日志

将主程序改名为小狮子.bat

等于没有说阿。。。我不太明白什么叫上传病毒样本  那个要怎么上传啊。

MSRS.EXE，U盘传播的下载者。（或局域网ARP传播）

行为：
1，修改系统时间为三年前，干掉咔吧的监控，结束咔吧。
2，映像劫持常用杀毒软件和注册表，如360等
3，替换掉系统更新程序
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe
4，访问ddd.xnibi.com下载病毒
5，添加启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
      explorer        c:\windows\system32\wuauclt.exe   
3个驱动
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
6,C:\windows\system32\auth.dll注入svchost.exe，干掉咔吧
7，利用cacls.exe修改修改文件访问控制权限
cacls.exe c:\windows\system32\packet.dll /e /p everyone:f
cacls.exe c:\windows\system32\drivers\npf.sys /e /p everyone:f
cacls.exe c:\windows\system32\npptools.dll /e /p everyone:f
cacls.exe c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f
cacls.exe c:\windows\system32\wanpacket.dll /e /p everyone:f
cacls.exe c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f

解决办法：
1，打开icesword，设置为禁止线进程创建。
2，进程：
结束o.exe，MSRS.EXE
打开svchost.exe，强制卸载c:\windows\system32\auth.dll


打开winlogon.exe，强制卸载C:\WINDOWS\TEMP\~MY73.TMP



3，文件：
强制删除
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
把禁止线进程创建取消。
4，用FileForceKiller清空所有temp目录和
c:\windows\system32\wnlnet.dll
c:\windows\system32\auth.dll
c:\windows\system32\wnnlnet.dll
c:\windows\system32\ehhrma.dll
C:\Program Files\Internet Explorer\2.pif
C:\Program Files\Internet Explorer\4.pif
C:\Program Files\Internet Explorer\5.pif
C:\Program Files\Internet Explorer\9.pif
C:\Program Files\Internet Explorer\xx.pif
C:\WINDOWS\SYSTEM32\WINLIB .DLL
C:\WINDOWS\TEMP\~MY73.TMP
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\PCTOOLS.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION dATA\MICROSOFT\PCTOOLS\PCTOOLS_2008731_7866.DLL
C:\WINDOWS\SYSTEM32\D3D1CAPS.SRG
C:\WINDOWS\TEMP\MIRCRGFX.DAT
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\pctools.dll
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
删除各个分区根目录下面的autorun.inf，MSRS.EXE
5，打开autoruns。
删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run键值
和HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
6，复制正常的wuauclt.exe文件覆盖
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe
7，用sreng和windows清理助手扫描修复系统
删除中机器有可能蓝屏

用WINRAR压缩文件病毒文件
上传

日志也上传

点右下角的回复按钮即可

给提供一个冰刃的下载地址吧，我上网搜索到的都是1.22版本，里面的界面我不是很明白怎么操作。找不到o.exe，而且我结束了MSRS.EXE之后，也不知道打开svchost.exe，强制卸载c:\windows\system32\auth.dll和打开winlogon.exe，强制卸载C:\WINDOWS\TEMP\~MY73.TMP。能给更详细一点的说明吗？

好的 我办公室电脑中的病毒，现在我在家，等下午上班上传，谢谢大侠~！！！

楼主还是先上传个日志吧，你电脑可能不止中了这种病毒，病毒变种快，可能同一种病毒但是病毒文件名字也不尽相同。所以还是上传一个Sreng日志，具体问题具体分析吧

谢谢

SREng/智能扫描