10.10早上开始，198网段内陆续出现ARP攻击，瑞星网络版，安全卫士全部无法运行，格式化C盘，重装系统，连上网线，打完补丁,没多久再次中毒，硬盘根目录下有HSB.PIF,AM.PIF,UP.PIF等扩展名为PIF的文件，删掉该文件，重装系统仍然中毒，请高手帮忙

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

可疑文件2个。
SUBMIT~1.DLL
C:\WINDOWS\SYSTEM32\WACCLT.EXE

另外楼主又安装了金山又安装了瑞星，会造成冲突的。

金山ARP防火墙而己，应该不会和瑞星网络版有冲突吧

可疑文件列表

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Thunder.exe 

C:\WINDOWS\system32\winlib .dll

C:\WINDOWS\system32\wacclt.exe

C:\47e22858f2663695.dat

C:\WINDOWS\system32\drivers\acpidisk.sys

C:\DOCUME~1\user\LOCALS~1\Temp\~78.tmp

C:\DOCUME~1\user\LOCALS~1\Temp\tmp4B.tmp

各盘符下 的 XXX.pif

建议下载

此数据文件 

附件: 删除数据文件.rar (2008-10-15 11:53:51, 334 B)
该附件被下载次数 160

再到这里下载 删除病毒的主程序  （并参看下贴中该程序的整个执行过程，避免误操作。）
http://bbs.ikaka.com/showtopic-8554006.aspx


两个放于同一目录下，运行主程序即可。

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\wacclt.exe
c:\windows\system32\winlib .dll
c:\47e22858f2663695.dat
c:\windows\system32\drivers\acpidisk.sys
c:\docume~1\user\locals~1\temp\~78.tmp
c:\docume~1\user\locals~1\temp\tmp4b.tmp
C:\WINDOWS\system32\dllcache\wuauclt.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[SysExplr]    <C:\Program Files\Herosoft\HeroV8\SYSEXPLR.EXE>
[Internet Explorer]    <%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[47e22858f2663695 / 47e22858f2663695]    <\??\C:\47e22858f2663695.dat>
[acpidisk / acpidisk]    <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
[sys_hkt / sys_hkt]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\~78.tmp>
[mhfp / mhfp]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp4B.tmp>

**************以上分析报告由SREngLog分析助手提供******************
分析：草莽书生
时间：2008-10-15
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)

3.下载IFEO修复程序
http://www.dodudou.com/down/IFEO.rar

4.将系统时间改回来

5.修复瑞星或重装升级到最新版安全模式全盘杀毒，谢谢小叶

存在误删
C:\Program Files\Herosoft\HeroV8\SYSEXPLR.EXE
是豪杰解霸的。
Shmgrate.exe WindowsNT 用户数据迁移工具

谢谢指正，好像漏了一个
C:\WINDOWS\system32\dllcache\wuauclt.exe

C:\WINDOWS\system32\dllcache\wuauclt.exe
自动更新的程序的系统备份

1.建议使用XDelBox删除以下文件：(XDelBox1.8动物家园版下载),系统盘非C盘的或是vista系统的建议下载费尔木马强力清除助手删除以下文件：
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作（重启计算机以后会有一个系统菜单选择Go Xdelbox To Del Files）。运行xdelbox前最好卸载所有可移动存储设备。

c:\windows\system32\wacclt.exe
c:\windows\system32\winlib .dll
c:\47e22858f2663695.dat
c:\docume~1\user\locals~1\temp\~78.tmp
c:\docume~1\user\locals~1\temp\tmp4b.tmp
c:\windows\system32\drivers\acpidisk.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[IFEO[360rpt.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[360safe.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[360safebox.exe]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[360tray.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[ANTIARP.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[ArSwp.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Ast.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[AutoRun.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[AutoRunKiller.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[AvMonitor.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[AVP.COM]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[AVP.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[CCenter.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Frameworkservice.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[GFUpd.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[GuardField.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[HijackThis.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[IceSword.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Iparmor.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[KASARP.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[KAVPFW.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[kavstart.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[kmailmon.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[KRegEx.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[KVMonxp.KXP]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[KVSrvXP.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[KVWSC.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[kwatch.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Mmsk.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[msconfig.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Navapsvc.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[nod32krn.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Nod32kui.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[PFW.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[QQDoctor.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[RAV.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[RavStub.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Regedit.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[rfwmain.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[rfwProxy.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[rfwsrv.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[rfwstub.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[RSTray.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Runiep.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[safeboxTray.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[SREngLdr.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[TrojanDetector.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[Trojanwall.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[TrojDie.KXP]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[VPC32.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[VPTRAY.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>
[IFEO[WOPTILITIES.EXE]]    <C:\WINDOWS\system32\dllcache\wuauclt.exe>

    启动项目 －－　启动文件夹之如下项删除：
[3]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\3.pif>
[Thunder]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Thunder.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项项删除：（运行SRENG--->启动项目--->服务--->驱动程序--->勾选隐藏已认证的微软项目--->选择要删除的驱动--->选择删除服务--->点击设置--->出现提示里选择否，确认删除。））(不能删除就禁用:启动类型改为disabled,点中修改启动类型，点设置)
[47e22858f2663695 / 47e22858f2663695]    <\??\C:\47e22858f2663695.dat>
[sys_hkt / sys_hkt]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\~78.tmp>
[mhfp / mhfp]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp4B.tmp>
[acpidisk / acpidisk]    <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>

3.下载临时文件清理工具清理下 
http://www.dodudou.com/down/ATF-Cleaner-cn.exe

4.下载windows清理助手升级到最新处理下
http://www.arswp.com/download/arswp2/arswp2.zip