“winPE(有的叫深山红叶）或纯dos 或把中毒机器的盘挂到从盘，借其他机器，把这些统统干掉”
    老大，幸好我是学这个的，多少能懂点，这要是和别人说，肯定一头雾水，我虽然不是一头，但至少也有半头了~~
    那个winPE得现出去买吧~；DOS，晕了，没装……；“把中毒机器的盘挂到从盘”老大，说真的，不懂怎么挂
   

那个，救人救到底，送佛送到西，具体告诉一下吧，把那个“中毒机器的盘挂到从盘”的方法告诉下。谢谢拉

这就热门主题拉？才二百多个点击，21个回复（还有二十多个是我自己回的），伤心啊。

我跟楼主一样,用360卫士和Windows清理助手清理说清理成功了,但用卡卡和金山毒霸系统清理专家查就还是有但就是杀不掉,安全模式也一样杀不掉,用了n多种现在比较流行的来杀要么查不到,查到的解决不了!晕晕!!!!!!!!!!!
    顶上去!!!!!!!!!!!!@@@@@@@@@@@@@

补充下: 跟楼主一样用工具全杀完后 有时候突然又跳出好多乱78糟的进程查下有来了好多流氓软件 还真像会自动下载别的!!真变态!!
  up!up!up!
来个搞的定的吧!!!!!!!!!!!!!!!!!!!!!!!!1

一定要顶住！我也是这个问题。。
爷爷祝桌面媒体全体相关人员及其家属生男孩没小弟弟，生女孩没奶子，没洞洞。！无论男孩女孩全都没菊花！

我的情况跟楼主一样，我废了半天劲，根据卡卡能查出来的文件名，我用进入矮人DOS里面，把那几个文件都删掉了，但注册表就是动不了，只要一进WINDOWS注册表里的东西根本就删不掉，而且我现在都不能打开“我的电脑”以及任何可以启EXPLORER.EXE的东西，如果那样，这个桌面媒体就会马上下载安装一堆流氓软件，我真服了。用瑞星2007也杀不出来，我刚升级的最新版。

不行啦，在这样下去电脑都没法用了，卡卡工作组的同志们啊，加油啊，赶快想法干掉这个王 波啊 得安 软件啊。


Logfile of Kaka v2. 0. 2. 4 Scan Module v1. 0. 3. 6
Scan saved at 00:41:44, on 2006-12-16
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
R3 - URLSearchHook: bho Class - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v13.dll
O2 - BHO: IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\WINDOWS\system32\IESHEL~1.DLL
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\tools\oocip\oicpppp\QQIEHelper.dll
O2 - BHO: bho Class - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [runeip] D:\tools\Rising\AntiSpyware\runiep.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [KKDelay] D:\tools\Rising\AntiSpyware\RunOnce.exe
O4 - Startup: desktop.ini =
O4 - Startup: delshare.bat =
O4 - Global Startup: desktop.ini =
O8 - Extra context menu item: &使用迅雷下载 - D:\tools\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\tools\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\tools\oocip\oicpppp\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\tools\oocip\oicpppp\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\tools\oocip\oicpppp\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\tools\oocip\oicpppp\SendMMS.htm
O9 - Extra Button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\tools\oocip\oicpppp\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\tools\oocip\oicpppp\QQ.EXE
O9 - Extra Button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\tools\oocip\oicpppp\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\tools\oocip\oicpppp\QQIEHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF20B4A-2B56-4C92-8B92-56FF2F7BB998}: NameServer = 202.96.64.68,202.96.75.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O21 - SSODL: WebSecurity - {3DD78ACF-0745-4532-94F8-A574457E1A81} - C:\WINDOWS\system32\PvSec.dll
O23 - Service: Network AutoCheck (AutoC) -  - C:\WINDOWS\system32\ntserv.exe
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\tools\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - "C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe"
O23 - Service: VMware NAT Service (VMware NAT Service) - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Windows NT Service32 (Windows NT Service32) -  - C:\WINDOWS\system32\rundll32.exe" "c:\windows\system32\ntservice32.dll",start

接着顶哦!!
  是啊 不知道只要一触发什么东西他就又会给你下很多流氓软件进来 晕都晕死!!  来个高手 给点办法啊!!!

都不见人了 大家都睡了吗~~哎 明天再来瞧瞧

不知道有点到什么了 又复活了! 进程飚到37了  瑞星雨伞又被关了!!!!!!!!!!!!!!!

!!

我和它斗争了一天，终于把它搞定了。
首先准备几个工具：ICESWORD,SRENG(SYSTEM REPAIR ENGINEER)。
先在诊断模式下启动
然后要用SRENG删除NTSERVICE32的服务项。
接着用ICESWORD将含有"NTSERVIE32""DESKADP""DESKIPN""ZSTDP"的注册表项删除。
重启系统，删除以上文件。
后启动卡卡，清除。
如果用纯DOS 最好删这些文件。
也可象楼上说的，把硬盘挂到另个机器上，启动那个机器的系统，找到你的盘，将那些文件删除。
然后安装回你的机器上清理你的注册表和启动项，就OK.

我都跟它斗了半拉月拉，可惜知识有限，搞不定它，不能沉啊，大家继续顶啊，顶到解决为止

昨天公司的一台机子也中了桌面传媒，我在乱撞+查了N多资料，终于把他整死了。

先把文件和文件夹以及系统文件的隐藏属性全都关闭。
然后用symantec 10+最新的病毒库查了一次，杀掉了部分文件，具体什么文件有点搞忘了，只记得有c:\windows\system32\wnttech.dll
。
然后关闭IE和全部不需要的程序，把IE临时文件和cookie之类的清干净，到\Documents and Settings目录下把\Administrator\Local Settings\Temp\下面的文件全部删除，删除不掉的.exe和.dll文件一定要用icesword删除掉，注意当前用户名不见得是Administrator，所以建议把Documents and Settings目录打开后，把所有的目录全部找一道。
接着用网上查到信息做以下操作：
1.使用IceSword 删除c:windows\system32\ntservice32.dll
2.打开 运行--输入regedit--查找ntservice32.dll，找到一个之后值之后，弄清具体位置，进入IceSword提供的注册表，同样的位置删除这个值。
3.在regedit中按F3继续搜索有关值，继续使用IceSword删除，直至删除干净。
4.启动msconfig：禁止ntservice32.dll

然后重启，查看管理工具->服务里面Windows NT Service32是否已经没有启动，如果没有启动，查看有没有:
Remote Procedure Call System(RPCS) / RpcS
WindowsNt Workstation / NTWorkStan
WindowsNt Network Engine / wnttech
如果有全部停掉，我遇到的情况里是没有遇到这几个服务的，所以在在停止这几个服务时，一定看仔细了，如果Microsoft的就不用停了。
接着重启进入安全模式，启动icesword，使用它删除下列文件：
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe
c:\windows\system32\ntworkstan.dll
C:\WINDOWS\system32\RpcS.exe
c:\windows\system32\wnttech.dll
C:\WINDOWS\system32\NTService32.dll
C:\WINDOWS\Downloaded Program Files\839380\ExDLL.dll
C:\WINDOWS\system32\WebPageParser.dll
C:\WINDOWS\system32\Charset.dll
C:\WINDOWS\system32\CreateDomTree.dll
C:\WINDOWS\Downloaded Program Files\839380\fshook.dll
我在遇到的情况中，有部分文件我是没有遇到的，Downloaded Program Files目录下的数字子目录好像随机产生的，而且是两个所以请各位注意，数字子目录似乎删不了，但是一定要把里面的文件全删除了。
还有就是WebPageParser.dll等几个文件，实际上有两个，只是后缀名不一样，就跟在这个文件后面，一定要一起删除了。
注意：在找这些文件时，一定先按文件名排序，如果找到删除后，还要再排序一次，不然icesword又是乱序排列的。

然后重启正常启动，用icesword查看应该会发现:
C:\WINDOWS\system32\WebPageParser.dll
C:\WINDOWS\system32\Charset.dll
C:\WINDOWS\system32\CreateDomTree.dll
又已经生成，再次查资料，删除c:\windows\system32\drivers\service.dll以及上面三个dll文件，再次重启，启动卡卡，他会说发现deskipn，但是仔细看里面的项目，基本上没有文件加载，主要是注册表里面的残留项目，表明它实际上已经瘫痪。如果看起不爽，又有把握删除它们，可以逐项删除它们。

希望对各位有所帮助，给我的感觉是，杀毒软件还是有点作用，最好是先用杀毒软件查一道，再做上面的操作。还有IceSword最好是最新的，这里有下载的:http://www.ttian.net/website/2005/0829/391.html