不知道是怎么搞得中了msdd.exe病毒，怎么也杀不掉，系统时间也被改成了2004年，各位大侠高手，能否出手相助 [ 本帖最后由 数码先行 于 2008-9-13 10:33 编辑 ]

智能扫描=》扫描=》保存报告 把日志SREngLOG.log中的报告完整复制粘贴上来，[全选(Ctrl+a) >>复制(Ctrl+c) >>粘贴(Ctrl+v)] 上来， 下载sreng：http://www.kztechs.com/sreng/sreng2.zip

一:我的电脑-右键-资源管理器 打开每个盘符， 工具-文件夹选项-查看-显示所有文件和文件夹、把隐藏受保护的操作系统文件 的钩 去掉， 这时候就看到 每个盘符根目录下的病毒文件了，删掉 autorun.inf 和 MSRS.EXE 如果有MSDD.EXE 也删掉！ 这时候 就算完事了，你可以正常用电脑了！也可以双击了。 二:MSRS.EXE，U盘传播的下载者。 行为： 1，修改系统时间为三年前，干掉咔吧的监控，结束咔吧。 2，映像劫持常用杀毒软件和注册表，如360等 3，替换掉系统更新程序 c:\windows\system32\dllcache\wuauclt.exe c:\windows\system32\wuauclt.exe 4，访问ddd.xnibi.com下载病毒 5，添加启动 C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run explorer c:\windows\system32\wuauclt.exe 3个驱动 C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp C:\WINDOWS\system32\drivers\ssng4r0hsc.sys C:\WINDOWS\system32\drivers\qjkm.sys 6,C:\windows\system32\auth.dll注入svchost.exe，干掉咔吧 7，利用cacls.exe修改修改文件访问控制权限 cacls.exe c:\windows\system32\packet.dll /e /p everyone:f cacls.exe c:\windows\system32\drivers\npf.sys /e /p everyone:f cacls.exe c:\windows\system32\npptools.dll /e /p everyone:f cacls.exe c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f cacls.exe c:\windows\system32\wanpacket.dll /e /p everyone:f cacls.exe c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f 解决办法： 1，打开icesword，设置为禁止线进程创建。 2，进程： 结束o.exe，MSRS.EXE 打开svchost.exe，强制卸载c:\windows\system32\auth.dll 打开winlogon.exe，强制卸载C:\WINDOWS\TEMP\~MY73.TMP 3，文件： 强制删除 C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp C:\WINDOWS\system32\drivers\ssng4r0hsc.sys C:\WINDOWS\system32\drivers\qjkm.sys C:\WINDOWS\system32\drivers\acpidisk.sys 把禁止线进程创建取消。 4，用FileForceKiller清空所有temp目录和 c:\windows\system32\wnlnet.dll c:\windows\system32\auth.dll c:\windows\system32\wnnlnet.dll c:\windows\system32\ehhrma.dll C:\Program Files\Internet Explorer\2.pif C:\Program Files\Internet Explorer\4.pif C:\Program Files\Internet Explorer\5.pif C:\Program Files\Internet Explorer\9.pif C:\Program Files\Internet Explorer\xx.pif C:\WINDOWS\SYSTEM32\WINLIB .DLL C:\WINDOWS\TEMP\~MY73.TMP C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\PCTOOLS.DLL C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION dATA\MICROSOFT\PCTOOLS\PCTOOLS_2008731_7866.DLL C:\WINDOWS\SYSTEM32\D3D1CAPS.SRG C:\WINDOWS\TEMP\MIRCRGFX.DAT C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\pctools.dll C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif 删除各个分区根目录下面的autorun.inf，MSRS.EXE 5，打开autoruns。 删除 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run键值 和HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 6，复制正常的wuauclt.exe文件覆盖 c:\windows\system32\dllcache\wuauclt.exe c:\windows\system32\wuauclt.exe 7，用sreng和windows清理助手扫描修复系统 一个windows清理助手脚本： 我是转载别人的帖子.只供产考.

有人用小红帽干掉了这个东东!楼主试试!

先升级杀毒软件 如果杀毒软件挂掉 就搜MSDD.EXE用文件粉碎器粉碎 注意mm.exe、MSRS.EXE也是也病毒的变种

学习一下~~

       我有一个修改时间病毒专杀，不知道对你的是否有效，上传给你看看

多谢各位大侠的赐教，小弟已经搞定了，多谢多谢