参考斑竹此帖:根据SREng日志手工杀毒应注意的问题(

运行System Repair Engineer 启动项目，注册表删除
myZt2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE> [N/A]
<myMh2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mh2\iexpl0re.EXE> [N/A]
<rxzs><C:\WINDOWS\TEMP\rxzs.exe> [N/A]
<{1A404685-7563-4d02-B0F6-58B308A406A9}><e:\rising\rav\rising\rav\vnuncgip.dll> [N/A]
启动项目，服务,win32服务应用程序，勾选隐藏微软服务后删除
[NT Data Provider / BRGNS][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\YTBVT.DLL,Export 1087><N/A>
[RpcService / RpcService][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\EXPLORE.EXE><Microsoft Corporation>
Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
服务,驱动服务删除
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fxpo><N/A>
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ladqtqwxts><N/A>
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svwavkj><N/A>
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tafbg><N/A>
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vgeiujp><N/A>
安全模式下我的电脑，工具，文件夹选项，查看，显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉删除
C:\WINDOWS\TEMP\rxzs.exe
e:\rising\rav\rising\rav\vnuncgip.dll
C:\WINDOWS\SYSTEM32\EXPLORE.EXE
C:\WINDOWS\SYSTEM32\WBEM\YTBVT.DLL
windhcp.ocx
这个文件夹所有文件C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

用SREng删除启动项目==>注册表
<myZt2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE> [N/A]
<myMh2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mh2\iexpl0re.EXE> [N/A]
<rxzs><C:\WINDOWS\TEMP\rxzs.exe> [N/A]
<{1A404685-7563-4d02-B0F6-58B308A406A9}><e:\rising\rav\rising\rav\vnuncgip.dll> [N/A]

用SREng删除启动项目==>服务==>服务WIN32
[NT Data Provider / BRGNS][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\YTBVT.DLL,Export 1087><N/A>
[Distributed Console Manager / ClipArt][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\zahwv.dll><Microsoft Corporation>
[RpcService / RpcService][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\EXPLORE.EXE><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>

用SREng删除启动项目==>服务==>驱动程序
[ahhheeff / ahhheeff][Stopped/Boot Start]
<\SystemRoot\system32\drivers\ahhheeff.sys><N/A>
[f / f][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fxpo><N/A>
[fifeijch / fifeijch][Stopped/Boot Start]
<\SystemRoot\system32\drivers\fifeijch.sys><N/A>
[ladqtqw / ladqtqw][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ladqtqwxts><N/A>
[nwvmtq4 / nwvmtq49][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\nwvmtq49.sys><N/A>
[svwa / svwa][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svwavkj><N/A>
[ta / ta][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tafbg><N/A>
[vgei / vgei][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vgeiujp><N/A>

修复错误的文件关联

重启，安全模式下删除
C:\WINDOWS\TEMP\rxzs.exe
e:\rising\rav\rising\rav\vnuncgip.dll
C:\WINDOWS\SYSTEM32\WBEM\YTBVT.DLL
C:\WINDOWS\system32\zahwv.dll
C:\WINDOWS\SYSTEM32\EXPLORE.EXE
SystemRoot\system32\drivers\ahhheeff.sys
SystemRoot\System32\DRIVERS\nwvmtq49.sys
清空C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp文件夹


C:\WINDOWS\system32\windhcp.ocx已经插入个程序中，很难删除，建议参考http://forum.ikaka.com/topic.asp?board=28&artid=8240356如有问题跟贴说明！！

不好意思呀,我还是没搞定.毒还在!
问题如下:C:\WINDOWS\TEMP\rxzs.exe(没找到)
e:\rising\rav\rising\rav\vnuncgip.dll(找不到)
C:\WINDOWS\SYSTEM32\WBEM\YTBVT.DLL(已经删除)
C:\WINDOWS\system32\zahwv.dll(找不到)
C:\WINDOWS\SYSTEM32\EXPLORE.EXE(文件已经找到.但是不让删除)
SystemRoot\system32\drivers\ahhheeff.sys(找不到文件了)
SystemRoot\System32\DRIVERS\nwvmtq49.sys(找到了不让删除)
清空C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp文件夹(已经删除)
请高手再教我一下.急呀!

贴子要沉了.顶顶顶呀!

IceSword冰刃－斩断木马黑手的利刃
下载地址1：
中文：http://202.38.64.10/~jfpan/download/IceSword120_cn.zip
使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178
找到不让删的用这个  删完之后重新扫描上传

高手呀,.我下了那个,只要一解压缩机器马上蓝屏死机呀.出来一屏的英文.我试了很多次.不行呀!