瑞星版本：20.46.12

关于win32.downloader.af感染描述：

1、5月26日开机，瑞星文件监控与邮件监控自动关闭，点击开启无法打开，重启系统后恢复正常（重启后瑞星杀毒结果为无病毒）；

2、5月26日当天网络自动断开两次，均10分钟内恢复；

3、5月27日凌晨第二次网络中断，恢复后，运行瑞星杀毒，发现win32.downloader.af感染；

4、安全模式断网杀毒，提示rav.exe疑为磁碟机程序是否退出，点是退出，点否继续运行；

5、安全模式断网使用瑞星磁碟机专杀程序杀毒，结果为无毒；

6、系统状态：所有exe程序均被感染无法运行，瑞星主程序，防火墙，卡卡以及同时运行的AVG Anti-Spyware 7.5已被感染但可运行；

7、5月28日凌晨重新安装瑞星并升级，安全模式断网杀毒，仍提示rav.exe为磁碟机程序；

8、系统状态：所有exe只要安装均被感染。



备注：同时反复出现无法清除的还有：
Trojan.PSW.Win32.SunOnline.oq
Trojan.PSW.Win32.GameOL.nrw
RootKit.Win32.RESSDT.al
也令人十分头疼

卡卡亦出现状况，xxx软件查出9种均无法删除，其中3种为流行木马

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

用windows清理助手清理一下系统。
windows清理助手下载页面：http://www.arswp.com/download.html
———————————————————————————————————————
然后使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

非常感谢斑竹的及时回复，已经很乖的按照要求进行操作


清理助手清理了18个程序，有一个程序无法清楚
名称为：不正确的appinit_dlls默认参数
注册表地址是：
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS,APPINIT_DLLS,REG_SZ00


System Repair Engineer扫描日志已上传如下：

附件: 新建文本文档.txt (2008-5-28 14:55:35, 33.20 K)
该附件被下载次数 127

斑竹我刚将瑞星升级为20.46.20，又杀了一遍，现在把信息提供给您~

断网全盘杀毒，结果为无病毒（删掉了？？）

卡卡仍有5个垃圾软件无法清除，为：

广告插件Lsmgr
恶意程序Opfbr
恶意程序伪装sys
恶意程序伪装sys32
流行木马(187).ini

文件路经均为C:\WINDOWS\system32\Explorer.exe

删除提示需重启，重启后仍然存在无法删除，刚用了清理助手还是删不掉..........

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\system32\Explorer.exe
C:\WINDOWS\system32\SysWmWasz.dll
C:\WINDOWS\system32\msosptfs00.dll
C:\WINDOWS\system32\SysZxaC.dll
C:\WINDOWS\system32\msosmhfp00.dll
C:\WINDOWS\system32\msosdohs00.dll
C:\WINDOWS\system32\msosfmsq00.dll
C:\WINDOWS\system32\msoscqit00.dll
C:\WINDOWS\system32\msosping00.dll
C:\WINDOWS\system32\jdsaex.dll
C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe
不论删除结果如何，继续下面操作：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll>  [N/A]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将下面项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><SysWmWasz.dll,msosptfs00.dll，SysZxaC.dll,msosmhfp00.dll,msosdohs00.dll,msosfmsq00.dll,msoscqit00.dll,ieprot.dll,msosping00.dll>  [N/A]

就是将  <AppInit_DLLs><SysWmWasz.dll,msosptfs00.dll，SysZxaC.dll,msosmhfp00.dll,msosdohs00.dll,msosfmsq00.dll,msoscqit00.dll,ieprot.dll,msosping00.dll>  [N/A] 的“值”项编辑置空为：

  <AppInit_DLLs><>  [N/A]
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，
==================================
服务
[BoBoTurbo / BoBoTurbo][Running/Auto Start]
  <C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe><广州易播信息科技有限公司>
————————————————————————————————————
再重启电脑，

用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手，清理你那系统。
记得打打系统漏洞补丁

卡卡助手的那些提示，我一贯晕糊糊的，没本事帮你了

非常感谢天月！一步一步按你所说的操作后，终于用卡卡把那些臭垃圾删掉啦~！

你们真是天才...5555....辛苦了