最近电脑时隔几分钟就跳出如下对话框：
16位MS-DOS子系统
C:\WINDOWS\SYESTEM32\wxpSetup.exe
NTVDM CPU遇到无效的指令
CS:0531 IP:01f6 OP:2e 63 6e 22 20 选择“关闭”终止应用程序

按关闭有时也关闭不掉，有时候跳出来关掉就重新启动，莫名其妙的东西，想GHOST，但是又觉得太便宜它了，所以想干干净净的把它Kill掉，谁有办法啊？
今天看进程里面，又有好多个ntvdm.exe,cmd.exe,ping.exe进程，肯定与这个关联的，虽然结束掉了，但是感觉没治本啊，用AVG，360，MACFEE，USBCLEAN,RogueCleaner,Malwarebytes' Anti-Malware等都查了一遍，没有查到什么东西，看了下硬盘所有文件也没发现什么不明物，不知道怎么办了...

附件有一个是扫描日志，有2个是C盘下的wxpSetup文件，我打包发上来

引用:

可疑文件发样本区--byxxdrls

我按byxxdrls和昨儿的方法做了,现在把SREng扫描结果和Xdelbox的备份文件传上来，附上现在开机进程图，我没运行，但是还是
有ＣＭＤ和ＰＩＮＧ的进程？

[ 本帖最后由 byxxdrls 于 2008-9-12 13:50 编辑 ]

机器是DELL的，系统是DEEPIN XP SP2  5.10,杀毒软件装的是MACFEE，office装的是2003

[ 本帖最后由 jgong 于 2008-9-11 12:57 编辑 ]

这是一个木马病毒，你能不能发个样本上来，这个病毒有点难缠！

不过，你可以尝试一下下面的方法：

一、首先清空IE缓存

桌面Internet Explorer--右键属性--删除Cookies--

删除文件（删除所有脱机文件）--清除历史记录

单击"确定"。

网页挂马方法进入你计算机的木马这样就可删除一些了

二、关闭系统还原

右击“我的电脑”，选择“属性”，进入“系统还原”选项卡，

勾选“在所有驱动器上关闭系统还原”项即可。

系统还原卷标“System Volume Information”文件夹，成为

木马避风港，关闭系统还原，重启就不会再提示有木马病毒而又无法删除。

三、清理启动项目

开始菜单--运行--输入msconfig确定--展开到启动--禁用启动项目

ctfmon可以除外（输入法相关设置程序，随机启动）

这样可以阻止木马联网下载其他木马病毒

然后启用杀毒软件进行查杀

你这么自信？
你不发日志，别人怎么帮你？请按版规扫日志上来。

C:\WINDOWS\SYESTEM32\wxpSetup.exe发上来看看。
断网，扫描sreng日志上来体检下。。。

是病毒...我的系统也中过..杀软杀了还能继续生成的

附件是Sreng扫描的结果,太多不方便粘贴，谢谢大家哈

[ 本帖最后由 jgong 于 2008-9-11 12:55 编辑 ]

1.建议使用XDelBox（或费尔木马强力清除助手http://dl.filseclab.com/down/powerrmv.zip http://www.xpi386.com/tools/PowerRmv.rar如用这个工具请勾选“备份”）删除以下文件：(XDelBox1.7下载)
xdelbox使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择“从剪贴板导入不检查路径”，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\aspxplay.exe
c:\windows\system32\wbem\eyafrvipu.dll
c:\windows\system32\wbem\eyafrvipu.dll
c:\windows\system32\wbem\zizewbwqio.dll
c:\windows\system32\enla.dll
c:\windows\system32\wbem\xingikjh.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[shell]修改：把<Explorer.exe aspxhelp.exe>修改为<Explorer.exe>即清除Explorer.exe后面的内容

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[QDLPT / GCNWRSU]    <C:\WINDOWS\system32\svchost.exe -k LQZBF-->C:\Windows\system32\wbem\EYAFRVIPU.DLL>
[TYSAABJMMNW / RWHIAI]    <C:\WINDOWS\system32\svchost.exe -k SVXKGFBVBVXAUP-->C:\Windows\system32\wbem\ZIZEWBWQIO.DLL>
[External Network Location Awareness (NLA) / enla]    <C:\WINDOWS\System32\svchost.exe -k enla-->c:\windows\system32\enla.dll>
[PCWHOKIJIKBTGQR / BDHZRFQHXNOAVV]    <C:\WINDOWS\system32\svchost.exe -k UMHRJLDTXEYX-->C:\Windows\system32\wbem\XINGIKJH.DLL>

**************以上分析报告由SREngLog分析助手提供******************
分析：byxxdrls
时间：2008-9-11
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)

1.使用XDelBox1.7删除以下文件,或者(费尔木马删除助手)
使用说明：卸载U盘等。拔掉网线。运行xdelbox，勾选“备份文件”、“抑制再生”。复制所有要删除文件的路径，在待删除文件列表里，击右键选择:从剪贴板导入不检查路径,右键,选择立刻重启删除:

c:\windows\system32\aspxplay.exe
c:\windows\system32\wbem\zizewbwqio.dll
c:\windows\system32\wbem\xingikjh.dll
c:\windows\system32\wbem\eyafrvipu.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[shell]修改：把<Explorer.exe aspxhelp.exe>修改为<Explorer.exe>即清除Explorer.exe后面的内容

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[TYSAABJMMNW / RWHIAI]    <C:\WINDOWS\system32\svchost.exe -k SVXKGFBVBVXAUP-->C:\Windows\system32\wbem\ZIZEWBWQIO.DLL>
[PCWHOKIJIKBTGQR / BDHZRFQHXNOAVV]    <C:\WINDOWS\system32\svchost.exe -k UMHRJLDTXEYX-->C:\Windows\system32\wbem\XINGIKJH.DLL>
[QDLPT / GCNWRSU]    <C:\WINDOWS\system32\svchost.exe -k LQZBF-->C:\Windows\system32\wbem\EYAFRVIPU.DLL>
[Serviceaspxhelp / Serviceaspxhelp]    <C:\WINDOWS\system32\aspxplay.exe>

最好能吧xdelbox删除时的备份发到样本区。也可以先用sreng删除注册表项和服务，再用xdelbox删除文件

C盘SYSTEM32下wxpSetup.rar没问题，在线扫描后没问题：
http://virscan.org/report/7403d8202ce6ad5f6603efe4a5d78ea8.html