一朋友的机器，在办理了征途游戏提供的账号绑定机器服务后。发现中了这种病毒，但最新版瑞星无法查杀。病毒症状为IE报错，其它程序相继不能使用。2次格式化全部硬盘重装系统，都在登陆征途游戏后不到半小时时间内再次发现中毒。其间没有打开过网页和其它程序。第一次全格重装中毒后还有时间变为2088年1月1日和2099年1月1日的现象。用江民的落雪专杀可以杀出东西，但根本无法根除，最多1分钟后重生。
    很是头疼，而且病毒的来历实在是想不明白。用启动盘重分区格式化重装，打满所有Windows补丁，一连接网络，除征途外没打开任何程序怎么就能进来病毒。

相关病毒文件名为：
autorun.inf
IO
mppds.exe
RAV008C.exe
RAV008C.dat
svchost.exe
TIMHost.exe
Result.txt

这个现在比较常见

使用SREng扫描工具点这里下载http://www.kztechs.com/sreng/sreng2.zip
1 解压缩sreng2.zip (关闭一切不必要的应用软件如QQ等，有必要的话可打开一个网页)
2 运行SREngPS.exe
3 按智能扫描，然后勾选检查进程模块的签名，然后再按扫描，最后保存结果
4 把结果SREngLOG.log里面的内容一字不漏的发上来
先扫个日志上来,了解一下你的系统的情况.

把U盘接到电脑上出现
autorun.inf
printer.exe

内容如下：
注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run
mswindws mssql.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Run
mswindws mssql.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell Explorer.exe work.exe

释放文件
%systemroot%\system32\cftmons.exe
%systemroot%\system32\work.exe
%systemroot%\system32\mssql.exe

其中CFTMONS.EXE有时为系统隐藏进程，注意和正常的系统进程CFTMON.EXE区别。
有时CFTMONS.EXE会将自己注入到EXPLORER.exe中，此时的EXPLORER.exe在ICESWORD进程中也为红色，必需关闭一次才可以正常杀毒。
先用利用ICESWORD关闭隐藏进程CFTMONS.EXE，然后修复注册表相关键值即可。
解释很明晰，其中关键步骤就是使用冰刃IceSword 软件关闭隐藏进程cftmons.exe，这样才可以顺利删除system32文件夹下的cftmons.exe文件，还有mssql.exe work.exe，然后搜索清理注册表相关项，重启电脑，彻底杜绝病毒的死灰复燃。

【回复“诸葛·小亮”的帖子】
把他们打包发给我看看吧..

hsxhyl1@126.com