C:\WINDOWS\RavMonE.exe
这个文件压缩加密123。发到我邮箱gudugd@yahoo.com.cn

可以
那机器不在我办公室里
一会先发，今天都跑了快10趟了

用winrar去看隐藏文件了没？流氓软件还是没清干净

1楼的都写了
还有5个流氓软件
超级兔子都卸载不了
包括在安全模式下。。。。。。
开始的时候有30多个。。。
不知道他们怎么搞的
一周已经装了2次系统了（我同事搞的）

终止 RavMonE.exe进程
删除RavMonE.exe、RavMonLog
u盘之类的也要查，以防交叉感染
删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] C:\WINDOWS\RavMonE.exe

恩恩

那几个流氓软件怎么卸载好？
还有这个
C:\WINDOWS\system32\inetsrv\csrss.exe
csrss.exe参照过我无邪的帖子
但是有几个文件没找到，删除重起后还是会出现。。。。。。

c:\windows\system32\wincfgs.exe病毒的删除方法
看以下帖子
wincfgs.exe病毒清除方法2006-08-24 08:22病毒文件：wincfgs.exe （c:\windows\system32\wincfgs.exe）病毒名称：Trojanspy.USBpy.a介绍：该病毒主要通过U盘传播，带毒的U盘中存在一个autorun.inf自动安装文件和一个回收站类似的文件夹，里面有一个autorun.exe主文件和一个回收站图标，都是加了一些属性的，并且autorun.exe在windows下是无法显示的，你可以在DOS中用dir /a命令来看到。
中毒机器上，会在windows目录下产生一个记事本图标的KB20060111.exe文件，system32目录下有一个wincfgs.exe文件，进程管理器中可以看到wincfgs.exe进程。相关症状：开机自动弹记事本，修改系统启动项，部分软件没有反应传播途径：U盘等移动存储危害性：暂无破坏性，只是开机跳出记事本。
推荐杀毒方式：手动查杀相关步骤：1、Ctl+Alt+Del 打开任务管理器结束wincfgs进程。
2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。
3、删除C:\windows\KB20060111.exe（也许文件名不同，和记事本一样的蓝色图标）。
4、删除C:\windows\system32\wincfgs.exe（黄色问号图标的隐藏系统文件）。
5、开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将"项、值、数据"这三个查找选项选上，搜索"KB20060111.exe"，删除找到的项/值，按F3键查找下一个并删除项/值，直到搜索完毕。同理搜索删除".\RECYCLER\RECYCLER\autorun.exe"和 "wincfgs.exe"的相关项/值。
6、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。(因为第5步已经删除，如果没有看到wincfgs相关项则略过)


C:\WINDOWS\RavMonE.exe
这个文件是病毒，它除了会k掉瑞星外，暂时不会对系统有其他破坏作用，现在总结删除方法：

1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程
2、进入c:\windows，删除其中的ravmone.exe
3、进入c:\windows，运行regedit.exe，在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c:\windows\ravmone.exe的，把他删除掉
4、完成后，病毒就被清除了。

对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。



C:\WINDOWS\system32\inetsrv\csrss.exe这一项应该和c:\WINDOWS\system32\FlashPlayer8OCX.dll有关，还是参考那个帖子，按帖子的思路去做，关键是删除FlashPlayer8OCX.dll，如果还是不行，建议把csrss.exe打包发到我的邮箱twtxk@126.com

关闭所有浏览窗口以及一些不必要的程序
打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），使用“系统修复，浏览器加载项”来删除以下选项。
C:\WINDOWS\system32\ms.dll
C:\WINDOWS\system32\IEHelper.dll
C:\WINDOWS\system32\CN5940~1.DLL

请到www.27814939.ys168.com,点“我的软件”下载KillBox.exe
重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
双击打开KillBox.exe，分别删除
C:\WINDOWS\system32\ms.dll
C:\WINDOWS\system32\IEHelper.dll
C:\WINDOWS\system32\CN5940~1.DLL
c:\windows\system32\msservices\svchost.dll
c:\windows\system32\msservices\MsService.dll
c:\windows\system32\msservices\unreg1.dll
c:\windows\system32\msservices\OldUnReg.dll
c:\WINDOWS\system32\urlmons32.dll
（删除时勾选“删除前先结束Explorer.EXE进程”不行再试着勾选"删除DLL文件前反注册此文件"
给菜鸟的东东—KillBox的使用技巧
http://forum.ikaka.com/topic.asp?board=28&artid=8160799

完后重启，再扫个日志粘上来。

占楼等编辑

先去搞下，不行再扫

修复
O17 - HKLM\System\CS1\Services\Tcpip\..\{99E9D10C-B25D-4399-9BB6-B4E466263D55}: NameServer = 61.147.37.1,202.102.8.141

系统搞成这样，格了算了，就差鸽子了

C:\WINDOWS\system32\inetsrv\csrss.exe
猫叔的帖子一起看看，这个有个别文件会不一样

没办法
我同事就是重装系统的。。。。。。
重装后每次科密考勤系统都要重做
先搞着让他们用着吧，新扫描的日志我都没来的及看
按无邪的办法先搞了下，还有3个流氓软件卸载不掉，MYIEHELLER
IE插件  WIN SURVEY/MSIBM！还有就是瑞星的所有监控打不开了，变成了小红伞，修复了不管用，已升到最新

新扫描的日志如下
Logfile of HijackThis v1.99.1
Scan saved at 15:21:43, on 2006-09-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.094\HijackThis.exe

O2 - BHO: (no name) - {08A312BB-5409-49FC-9347-54BB7D069AC6} - (no file)
O2 - BHO: (no name) - {16B770A0-0E87-4278-B748-2460D64A8386} - (no file)
O2 - BHO: (no name) - {46F194EB-B7DB-4B7A-BD42-5FF39FD17664} - (no file)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: (no name) - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - (no file)
O2 - BHO: XBTP03129 - {6029B367-250A-4696-925C-641709CA7381} - (no file)
O2 - BHO: (no name) - {70AFF2CB-9DA2-499C-8D15-900729FCE83D} - (no file)
O2 - BHO: (no name) - {77FEF28E-EB96-44FF-B511-3185DEA48697} - (no file)
O2 - BHO: (no name) - {C61A70F3-505E-4B90-916F-627A8706B4BC} - (no file)
O2 - BHO: OsbornTech Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - (no file)
O2 - BHO: (no name) - {CE7C3CF0-98A8-474D-B2B5-1ED7E2E3B004} - (no file)
O2 - BHO: (no name) - {D1BB7CF4-4463-4e91-88D7-ECC3CE0A13B7} - (no file)
O2 - BHO: Microsoft Solo Browser Helper Object - {E3DB85B5-C559-4894-B474-42E89FAA1EFD} - (no file)
O2 - BHO: (no name) - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - (no file)
O2 - BHO: (no name) - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - (no file)