偶是2005年7月10日去买的组装机，花了6770元，主要配置是P4 531/INTER 915PGN/金士顿512M DDR400两根/希捷80G 8M串口/双敏6600GT/。。当时技术人员给我装的SP2系统，正版江民杀毒软件，我拿回家试着玩魔兽开12家6V6，场面壮观且不卡，只有同时开MTV听歌的时候(当时没有MP3，只有MTV)战争的高潮部分才会偶尔有点卡。
 
  7月18日，才开通的电信1兆宽带，7月21日，江民开始提示我发现某某中毒文件，已删除，我想反正删都删了，没事了吧。结果隔几个小时就提示我一回，同一个文件，同样已删除，病毒名称是高波变种和塞波变种，我查杀病毒，偶尔能查到，偶尔又查不到。具体症状是：下载东西时候电脑偶尔提示我"0x77bfa657"指令引用的"0xbllecc08"内存，该内存不能为"written"类似的消息/打魔兽12家很卡/浏览网页时候拉动滚动条常常是顿一顿的，隔几秒才反应/最小化的窗口，用鼠标点击后也要隔几秒才变大/天网日志告诉我，许多IP每分钟会几十次试图连接我电脑某些端口，被拒绝/又过一天，开机后电脑提示winamp损坏，后果是我无法听MP3，再过了1天，无法接通网络，提示网络文件损坏。
 
  忍无可忍。
 
  我终于把电脑抱去了商店，因为技术人员是我熟人，我也不好说什么。他告诉我以后别乱下东西了，我接受了他这个提议，他简单帮我弄了几下，病毒文件无法删除，于是进安全模式删除病毒，重启后病毒又出现，他再删，然后三下五除二的拔掉电源线，告诉我好咯，我把电脑抱回了家。
 
  病毒仍在。
 
  第二天我再抱电脑去商店，定下决心，把系统重装，所有盘都格式化。机器成了空的。他给我装了系统盘，装了几个播放器以及OFFICE办公系列软件，3721恢复，另一个技术人员告诉我，再出现类似问题，就用3721IE恢复，并且在官方网站下载了迅雷。这次没装江民，我把电脑抱回了家。
 
  几个朋友都说，江民很垃圾，瑞星好，回家后我装了朋友给的瑞星正版，老爸问我，好了吗，我拍拍胸脯，肯定好可，开玩笑，所有盘都格式化了，能不好吗？
 
  回家后装了几盘歌碟，装了魔兽争霸(朋友的魔兽盘，他也装的那盘，没病毒，更别告诉我歌碟里有病毒。。)仍不能上网，提示文件损坏，打了电话给电信，告诉了错误端口号码，第三天损坏文件自动好了，我开始上网，打开QQ，闲聊几句，进了华北电力大学网看考生信息，进了www.366tian.net开始下载天网，天网下后好，一看日志，
       
[16:33:31] 220.166.88.225试图连接本机的NetBios-SSN[139]端口，
          TCP标志：S，
          该操作被拒绝。

[16:33:34] 220.166.88.225试图连接本机的NetBios-SSN[139]端口，
          TCP标志：S，
          该操作被拒绝。
[16:35:15] 220.166.88.225试图连接本机的135端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:37] 220.166.192.36试图连接本机的135端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:38] 220.166.27.78试图连接本机的135端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:39] 220.166.219.235试图连接本机的Blazer 5[5000]端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:39] 220.161.73.211试图连接本机的1433端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:40] 220.166.192.36试图连接本机的135端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:41] 220.166.106.140试图连接本机的1433端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:41] 220.166.27.78试图连接本机的135端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:41] 220.166.219.235试图连接本机的Blazer 5[5000]端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:41] 220.166.219.235试图连接本机的135端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:42] 220.161.73.211试图连接本机的1433端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:43] 220.166.106.140试图连接本机的1433端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:44] 220.166.219.235试图连接本机的135端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:47] 220.166.27.78试图连接本机的135端口，
          TCP标志：S，
          该操作被拒绝。

[16:35:49] 220.166.106.140试图连接本机的1433端口，

  吓我一跳。紧接着，瑞星提示我又是那个病毒，已清除，也是查杀病毒偶尔能查到，偶尔查不到，但是查到的都显示已删除或清除，查来查去都是那2。3个病毒。文件名Edit.exe,病毒名Backdoor.Agob...清除成功/文件名rdriv.sys，病毒名Trojan.Rootkit.k删除成功，用瑞星漏洞扫描扫描不出漏洞，而瑞星昨天却反复提示我受到漏洞攻击(几秒钟一次)，漏洞名称MS-4011，我在网上查，说是需要打补丁，我去微软打了补丁，今天没再看到关于MS-4011的提示，但是昨天晚上QQ自动损坏，今天早上我试图用技术人员教的系统还原，用不了，今天中午，QQ又自动恢复了，晕。现在的症状是，天网日志不停警告/瑞星偶尔查出病毒并删除/还是如同重装系统之前的浏览器症状，没有出现最小化窗口隔几秒钟才反应，但是仍经常无法显示网页，需要多重复点击几次链接，或者网页文字变大，或者只显示文字不显示图片，偶尔无法打开搜索页，断开宽带后重连就好/出现过1回内存引用错误/偶尔弹出1个DOS框，标题栏里是C：WINDOWS/SYSTEM32/SVCHOST.EXE,我在进程里看到有好几个SVCHOST.EXE，我结束了其中1个，于是弹出1个框告诉我关掉所有程序，电脑将于几十秒以内重启，然后读秒，读秒完后并没有重启，操作却无回应，只好手动重启/用3721IE恢复没检测到任何恶意修改程序。

  我的问题是：
  1：现在我该怎么办？
  2：为什么机器所有盘格式化后还有原病毒？是迅雷官方网站的病毒？我在重装系统之前，装天网之前就中了病毒，因此可以排除www.366tian.net网站下载天网时中招的可能性吧。或者说我是内存病毒，硬盘病毒？我也不懂内存病毒或者硬盘病毒是原产品自带还是网络冲浪时受感染，硬件保修里关于这种的处理办法是什么？
  3：假使我这台电脑无病毒后，朋友告诉我，我应该，上网前先打齐补丁，然后装2个软件，一个杀病毒，一个杀木马，再装个天网防火墙，请问大家，杀病毒和杀木马的软件我装什么好，并且不会冲突。
  4:网上有文章说关端口,请问我可以把哪些无用端口关闭,怎样关闭?我只是上网下下软件资料,聊聊QQ,相对来说,网速慢些也没关系...



         

昏迷```



  现在我看卡卡反病毒论坛，也是无法显示网页，非得多点几次，它才显示，并且文字很大，图片不全。。。

以下是用斑竹所说软件拍的日志
Logfile of HijackThis v1.99.1
Scan saved at 17:09:02, on 2005-7-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\网络辅助软件\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\rundll32.exe
E:\网络辅~1\RAV\RAVMON.EXE
C:\WINDOWS\system32\explorer.pif
C:\Program Files\3721\AssistSe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\UPHClean\uphclean.exe
E:\网络辅助软件\RAV\CCENTER.EXE
E:\网络辅助软件\Rav\Rav.exe
C:\Program Files\QQ2005\QQ.exe
C:\Program Files\QQ2005\TIMPlatform.exe
E:\网络辅助软件\FireWall\PFW.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\网络辅助软件\迅雷\Thunder\Thunder.exe
E:\网络辅助软件\1\HijackThis.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O3 - Toolbar: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [High Definition Audio 属性页快捷方式] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [RavTimer] E:\网络辅~1\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] E:\网络辅~1\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [SKYNET Personal FireWall] E:\网络辅~1\FIREWALL\pfw.exe
O4 - HKLM\..\Run: [Microsoft Explorer] explorer.pif
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [assistse] "C:\Program Files\3721\AssistSe.exe"
O4 - HKLM\..\RunServices: [Microsoft Explorer] explorer.pif
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKCU\..\Run: [Microsoft Explorer] explorer.pif
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O8 - Extra context menu item: &使用迅雷下载 - E:\网络辅助软件\迅雷\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\网络辅助软件\迅雷\Thunder\getAllurl.htm
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122360399796
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8818D6E-3BCE-4A10-8422-2B4FA19BAE55}: NameServer = 202.98.96.68 61.139.2.69
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - E:\网络辅助软件\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\网络辅助软件\RAV\Ravmond.exe

【回复“黑客他die”的帖子】
粗看了一下你的叙述.明显是因为系统有漏洞造成反复染毒(你提到的病毒名中有"高波"变种).此外,还染上了那个难缠的ROOTKIT木马.关于这个ROOTKIT的查杀,可以参考我那个帖子---ROOTKIT木马查杀实录.

各位高手帮帮忙呀!!!!!!!!!!
现在又出现了滚动条速度慢的问题,打字也偶尔慢.

我一看CPU进程
进程数:34  CPU使用:1%-3%  提交更改:320/2464M

谢谢斑竹,我去看你所说的查杀实录先
另外还有个病毒名是backdoor.Rbot.bag

今天早上瑞星病毒隔离系统显示的却是Unknown virus

送给你斑竹的实战ROOTKIT木马的经典帖子
http://forum.ikaka.com/topic.asp?board=28&artid=6787830

关于楼主发的log
请修复：
O4 - HKLM\..\Run: [Microsoft Explorer] explorer.pif
O4 - HKCU\..\Run: [Microsoft Explorer] explorer.pif
重起进安全模式
查找并删除explorer.pif
请您清空IE缓存
开始--控制面版--internet选项--删除文件--删除所有脱机内容

谢谢,baohe
谢谢,jijip
关于baohe大大所说的实战rootkit木马的帖子,看的我脑袋真大``我不懂这个,只有慢慢照着来,
可是另外还有2种病毒..Backdoor.Agobot.bcl/Backdoor.Rbot.bag又该怎么灭?

所有盘都格了,重装系统都不管用..为什么?这个问题很主要呀.

好厉害的毒~辛好不是俺中的

所有盘都格了,重装系统都不管用..为什么?这个问题很主要呀.

回复：可能其他的安装程序有带毒的，或者解压某文件之后中的毒！建议换掉一些不确定的软件安装盘，或者换一张XP装一下！