请问版主，这个是不是中毒了？
见贴图
我用的是正版的毒霸，今天凌晨刚刚升级，没有扫描出这几个文件，而且单独扫描时，没有报错。但是用QQ扫描就出来了。每次开机，系统时间都是2000年1月1日。我中的是什么病毒？要不要上传样本呢？

楼主的NTVDM是自己加的么?那个我没有,刚查了下,是DOS用的,系统时间改了,肯定有毒了!!!前段时间，一个装卡巴的机器中过这个，好像卡巴都不会动了，最后格式化重装系统了！！！

[ 本帖最后由 cylong 于 2008-2-18 01:06 编辑 ]

不是自己加的。
截图右上角有个报错，注意到了吧。报了多少个错，任务管理器大约就有多少个NTVDM
能说一下是什么病毒，如何杀掉么？

可疑文件样本发在
http://bbs.duba.net/thread-21886155-1-1.html

下载金山清理专家2.1清理下恶意软件先。如果不能解决可扫描日志上传

麻烦楼主把图上的可疑文件发到样本文件区，另外，请检查一下Program files目录下，是否有以数字为文件名的exe，例如16.exe，如果有，请将这些文件也一并发到样本区，谢谢！！

QQ醫生會把QQ外掛報成可疑文件

優先建議妳使用清理專傢掃描LOG上來。因為方麵我們找齣可疑程序並提交。謝謝

引用:

原帖由 hooray 于 2008-2-18 03:04 发表
麻烦楼主把图上的可疑文件发到样本文件区，另外，请检查一下Program files目录下，是否有以数字为文件名的exe，例如16.exe，如果有，请将这些文件也一并发到样本区，谢谢！！

研发人员就是厉害啊，确实有很多数字文件。我也发到我在样本区的那个链接里面吧。
http://bbs.duba.net/thread-21886155-1-1.html

说道金山清理专家，我的心都凉了。都出问题了，竟然还告诉我，健康指数为100，继续保持。而且，什么都没有扫出来。

[ 本帖最后由 superpopb2b 于 2008-2-18 04:44 编辑 ]

用SRENG扫的LOG

肯定是中毒了
建议先使用微软的漏洞更新先看看是不是存有漏洞（打开ie-工具-windows updata）
然后在安全模式进行查杀病毒
开机按F8进入安全模式
有些主板要改动
开始-运行-msconfig-BOOT.INI里面选择SAFEBOOT 这个是进入安全模式
然后进入了安全模式后
开始-运行-msconfig-一般选择正常启动，如果不选择正常启动就进不了正常的xp
可以在自动启动中把不用的东西或者没用的程序可取消掉
NTVDM

ntvdm.exe
进程文件： ntvdm 或者 ntvdm.exe
进程名称： Windows 16-bit Virtual Machine
  
描述：
ntvdm.exe是Windows 16位虚拟机的一部分。该进程用于使16位的进程能够运行在32位的系统环境下。这个程序对你系统的正常运行是非常重要的。



出品者： Microsoft Corp.
属于： Windows

系统进程： 是
后台程序： 是
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A   
安全等级 (0-5): 0
间谍软件： 否
Adware: 否
广告软件： 否
木马: 否


比如，在XP环境下，你运行DOS程序(.com)或其他16位程序后，就会出现这个进程，不是病毒，但32位控制台程序(比如cmd.exe)，它运行时并不会出现

ntvdm.exe是Windows 16位虚拟机的一部分。该进程用于使16位的进程能够运行在32位的系统环境下。这个程序对你系统的正常运行是非常重要的。
这是什么意思呢？
众所皆知，微软新的桌面操作系统是向下兼容为旧系统开发的应用程序的(比如你可以在xp下玩仙剑奇侠传98柔情版)，其中包括运行于DOS内核操作系统的PE/NE格式可执行文件，以及为DOS开发的只包含16位指令、运行于处理器实模式的可执行程序/命令（排除那些试图直接操作硬件的，因为这逾越了NT内核操作系统给应用程序的权限，或者说它们试图运行于处理器的0环，与操作系统内核运行于同一级别，为了内核的安全性，这显然是不能被允许的）。
微软采用了WOW（Windows On Windows）技术使得在xp等NT内核操作系统上可以运行那些为旧版操作系统开发的应用程序，这样我们便可以正常的运行Windows98的甚至是Windows3.2的计算器程序等。让我们在WindowsXP下打开Windows3.2的应用程序，如记事本<我的经典收藏啊。。。Felix注>，你就会发现NTVDM这个程序幽灵般的出现了，还带上了一个子进程WOWEXEC.exe，这就是WOW的一个体现了。
而针对那些为DOS也就是CPU运行于实模式的情况下开发的16位程序，微软则使用了DOS虚拟机（VM）的方法。NTVDM通过使用x86 CPU的虚拟8086模式，使得16位程序能够在一定权限范围内正常运行，除非它们试图直接访问硬件，原因如上所述。让我们在XP下打开HD-copy<我的又一个经典收藏啊。。。Felix再注>，看看吧：ntvdm.exe又冒出来了。

汗  居然有五十几个进程

样本已经收到，尽快分析
另外，清理专家的系统诊断报告也请发一份上来，谢谢！

行，我也发到样本帖子那边去

引用:

原帖由 superpopb2b 于 2008-2-18 12:47 发表
用SRENG扫的LOG

SRENG並非萬能的，請在有截圖齣現那些NTVCM程序運行時候使用SRENG掃描或者是金山清理專傢掃描看看。

引用:

原帖由 annygi 于 2008-2-19 01:51 发表


SRENG並非萬能的，請在有截圖齣現那些NTVCM程序運行時候使用SRENG掃描或者是金山清理專傢掃描看看。

啊，我还要等病毒再次发作啊！！！

引用:

原帖由 superpopb2b 于 2008-2-19 10:25 发表


啊，我还要等病毒再次发作啊！！！

版主的意思是如果再遇发作你就赶快扫个日志下来