局域网内一台机子病毒袭击了内网服务器

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
C:\WINDOWS\system32\339DCF\81E587.EXE
C:\WINDOWS\vDll.dll
C:\WINDOWS\rundl132.exe
[C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\krnln.fnr]  [N/A, ]
    [C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\com.run]  [N/A, ]
    [C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\shell.fne]  [N/A, ]
    [C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\dp1.fne]  [N/A, ]
    [C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\eAPI.fne]  [N/A, ]

上传病毒样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为：http://mailcenter.rising.com.cn/uploadnew.aspx

下面是提取的文件

最重要的C:\WINDOWS\system32\339DCF\81E587.EXE文件没提取来。可惜了

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\system32\339DCF\81E587.EXE
C:\WINDOWS\vDll.dll
C:\WINDOWS\rundl132.exe

不论删除结果如何立即重启电脑，看情况如何。

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

C:\WINDOWS\system32\339DCF\81E587.EXE
这个文件不知道怎么没了！所以提取不出来

没有就不管它了，它是另一种病毒，只是个文件夹病毒而已

但是那C:\WINDOWS\vDll.dll和C:\WINDOWS\rundl132.exe就麻烦了，先删除吧。

可能这感染性的处理比较麻烦，需要关闭系统Windows文件夹外的其他所有程序类文件的开机自启动才行。

因为其他文件夹和其他盘内的会开机自启动的程序，在你重启电脑后，一旦那些程序自启动运行，可能又会生成那些病毒文件。

所以你能保证被感染的程序不开机自启动，基本上就可以利用杀毒软件升级全盘杀了。

如何能保证被感染的程序不开机自启动，且被感染的程序有那些又何以知晓？
是否是msconfig启动项里面禁止启动不明程序就可以呢？

是不是文件夹图标的
双击我的电脑-工具-文件夹选项，像我这样设置
看看是不是后缀为EXE的文件夹
那文件删除了的话，本贴无视就行

比如说，从你的日志看，以下非Windows文件夹内的其他地方的程序就是开机自启动的，你可以先将他们改名，重启电脑就不开机自启动了。等全盘杀毒完以后，再改回来
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <PDF Complete><C:\Program Files\PDF Complete\pdfsty.exe>  [(Verified)PDF Complete]
    <SetRefresh><C:\Program Files\Compaq\SetRefresh\SetRefresh.exe>  [Hewlett-Packard Company]
==================================
服务
[Contrl Center of Storm Media / ccosm][Running/Auto Start]
  <C:\Program Files\StormII\stormliv.exe /asservice><北京暴风网际科技有限公司>

[IviRegMgr / IviRegMgr][Running/Auto Start]
  <C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe><InterVideo>

[PDF Document Manager / pdfcDispatcher][Running/Auto Start]
  <C:\Program Files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService><PDF Complete Inc>
==================================
正在运行的进程
[PID: 428 / SYSTEM][C:\Program Files\StormII\stormliv.exe]  [北京暴风网际科技有限公司, 3, 8, 3, 15]
[PID: 424 / yh][C:\Program Files\Messenger\msmsgs.exe]  [Microsoft Corporation, 4.7.3000]
[PID: 608 / SYSTEM][C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe]  [InterVideo, 1, 0, 4, 0]
[PID: 840 / SYSTEM][C:\Program Files\PDF Complete\pdfsvc.exe]  [PDF Complete Inc, 3.5.22.2001]
[PID: 2740 / yh][E:\bsoft\zsxt\winzsxt.exe]  [, ]