[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Internat.exe><internat.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\winnt\system32\ctfnom.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINNT\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.]
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [RealNetworks, Inc.]
<RunShadowTip><C:\WINNT\system32\shadow\ShadowTip.exe> [PowerShadow]
这些好像是病毒弄出来的~~
好可疑~~~
特别是这两条：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Internat.exe><internat.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINNT\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.]

特别是这两条：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Internat.exe><internat.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINNT\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.
第一条是WIN2000的输入法；第二条是瑞星的钩子，都是正常文件。

引用:

【Enao2005的贴子】删除注册表项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <twin><C:\winnt\system32\ctfnom.exe> [N/A] 删除驱动服务 [Netgroup Packet Filter / NPF] <system32\drivers\npf.sys><Politecnico di Torino>重启删除 system32\drivers\npf.sys C:\winnt\system32\ctfnom.exe C:\winnt\system32\ctfnom.exe C:\winnt\system32\spoolsv.exe 传给我，QQ：5107074033或enao@people.com.cn ………………

请教：为什么要删除那个驱动及其文件？我也有。

第10楼的瞎指挥。除了第2条可疑外，你说的别的都是正常的。（除了我11楼所说外，还有一条正常的是影子系统的托盘图标）。