[PID: 140 / hyb][C:\Documents and Settings\hyb\Local Settings\Temp\abc.zip 的临时目录 2\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
    [C:\PROGRA~1\3721\CnsM.dll]  [, 2.5.6.1009]
    [C:\PROGRA~1\3721\helper.dll]  [国风因特软件（北京）有限公司, 2.5.2.1005]
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  [Yahoo! China, 3, 1, 0, 1028]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, ]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
    [C:\Program Files\Internet Explorer\IEXPLORE32.Dat]  [N/A, ]
    [C:\Program Files\Internet Explorer\IEXPLORE32.Sys]  [N/A, ]
[PID: 4000 / hyb][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2600.0000 (xpclient.010817-1148)]
    [C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll]  [yahoo! china, 3, 4, 2, 1117]
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\ysearch.dll]  [Yahoo! China, 3, 2, 4, 1026]
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasnoad.dll]  [yahoo! china, 3, 0, 3, 1005]
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yzsNetProto.dll]  [Yahoo! China, 3, 0, 4, 1005]
    [C:\Program Files\Yahoo!\Assistant\Assist\yphtb.dll]  [Yahoo! China, 3, 1, 1, 1012]
    [C:\Program Files\Yahoo!\Assistant\Assist\yrss.dll]  [Yahoo! China, 3, 0, 7, 1008]
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yaswiper.dll]  [Yahoo! China, 3, 0, 9, 1009]
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasiesec.dll]  [Yahoo! China, 3, 1, 0, 1012]
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YSETTI~1.DLL]  [yahoo! china, 3, 2, 5, 1039]
    [C:\Program Files\Yahoo!\Assistant\Assist\ymailp.dll]  [Yahoo! China, 3, 0, 6, 1012]
    [C:\Program Files\Yahoo!\Assistant\Assist\ymyweb.dll]  [Yahoo! China, 3, 0, 4, 1006]
    [C:\Program Files\Yahoo!\Assistant\Assist\ypagetr.dll]  [, 3, 0, 0, 1005]
    [C:\WINDOWS\system32\RavExt.dll]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [C:\WINDOWS\System32\shlhook.dll]  [Beijing Rising Technology Co., Ltd., 4.0.0.7]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, ]
    [C:\Program Files\Internet Explorer\IEXPLORE32.Sys]  [N/A, ]
    [C:\Program Files\Internet Explorer\IEXPLORE32.Dat]  [N/A, ]
    [C:\Program Files\Internet Explorer\IEXPLORE32.win]  [N/A, ]
    [F:\Thunder\ComDlls\TDAtOnce_Now.dll]  [Thunder Networking Technologies,LTD, 1.0.2.9]
    [C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll]  [yahoo! china, 3, 0, 6, 1008]
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL]  [yahoo! china, 3, 0, 7, 1009]
    [F:\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 3, 11]
    [F:\Thunder\Components\ResWorker\DsBho_00.dll]  [, 1, 0, 0, 4]
    [F:\Thunder\Components\ResWorker\DataProcessor_00.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 6]
    [C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll]  [Microsoft Corporation, 4.100.313.1]
    [C:\Program Files\Yahoo!\Assistant\Assist\yflashdl.dll]  [Yahoo! China, 3, 0, 5, 1019]
    [C:\Program Files\Common Files\Microsoft Shared\Windows Live\msidcrl40.dll]  [Microsoft Corporation, 4.100.313.1]
    [C:\Program Files\Yahoo!\Assistant\Assist\yassist.dll]  [Yahoo! China, 3, 2, 0, 1025]
    [C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
    [C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1840 / hyb][C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe]  [Microsoft Corporation, 4.100.313.1]
    [C:\Program Files\Common Files\Microsoft Shared\Windows Live\msidcrl40.dll]  [Microsoft Corporation, 4.100.313.1]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 228, C:\PROGRAM FILES\RISING\ANTISPYWARE\RUNIEP.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 232, C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 264, C:\PROGRA~1\YAHOO!\ASSIST~1\YLIVE.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 292, C:\PROGRAM FILES\YAHOO!\ASSISTANT\YASSISTSE.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 292, C:\PROGRAM FILES\YAHOO!\ASSISTANT\YASSISTSE.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 384, C:\WINDOWS\VM_STI.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3700, C:\PROGRAM FILES\RISING\RAV\RAV.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 468, C:\PROGRAM FILES\RISING\RAV\RAVMON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2284, C:\PROGRAM FILES\RISING\RAV\RSAGENT.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 2772, F:\安装程序\RAVQQMSENDER.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2772, F:\安装程序\RAVQQMSENDER.EXE]

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================


[/CODE]

注意：删除病毒可能会具有一定的危险性 所以强烈建议操作前要把重要资料转移至非系统分区！
下面所提到的文件中如果有哪项你认识或者确认不是病毒 请不要删除！

安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （就是你扫日志的软件）
启动项目  注册表 删除如下项目
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> []
<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:\Program Files\Internet Explorer\IEXPLORE32.Sys> []
<{EE12D60D-AD9A-4095-B839-3BE6862679FD}><C:\Program Files\Internet Explorer\IEXPLORE32.Dat> []
<{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:\Program Files\Internet Explorer\IEXPLORE32.win> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Telephonyl / WindowsDown


双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入C盘
删除如下文件C:\WINDOWS\System32\servet.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
C:\Program Files\Internet Explorer\IEXPLORE32.Sys
C:\Program Files\Internet Explorer\IEXPLORE32.Dat
C:\Program Files\Internet Explorer\IEXPLORE32.win

网页自动弹
下个超级兔子~~
删除不了文件下个unlocker或在安全模式下杀
察看启动项是否有异常
（看日至好烦，还不如用360简单

========Content========
安全模式下删除不了这些:
<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:\Program Files\Internet Explorer\IEXPLORE32.Sys> []
<{EE12D60D-AD9A-4095-B839-3BE6862679FD}><C:\Program Files\Internet Explorer\IEXPLORE32.Dat> []
<{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:\Program Files\Internet Explorer\IEXPLORE32.win> []

C:\Program Files\Internet Explorer\IEXPLORE32.Sys
C:\Program Files\Internet Explorer\IEXPLORE32.Dat
C:\Program Files\Internet Explorer\IEXPLORE32.win

刚才重启之后弹出对话框运行1.exe 2.exe 5.exe 6.exe 我点了拒绝运行 然后就出现病毒  Trojan.PSW.Win32.OnlineGames.dho

时间又恢复到1981.1. 10:11

试下:[凝逸反毒]的[黑洞]引擎,可

    1.黑洞吞噬一切启动型病毒
    2.吞噬:av终结者.帕虫.随机7/8位病毒,U盘病毒,QQ尾巴,
    3.锁定时间.显示文件
方法:  1.点【黑洞】
      2.强行关机后,重开机在点次【黑洞】
      3.在用杀软扫除病毒

【凝逸实验室】-[凝逸反毒]
QQ:503165656
主页:http://hi.baidu.com/503165656
下载:http://groups.google.com/group/503165656/web/nyfd.zip



杀不了,样本发到:503165656@qq.com

[黑洞]引擎+手工杀马
http://hi.baidu.com/503165656/blog/item/1420ebfc5637acfffd037f4a.html

高手们,再帮我解决下开机出现瑞星弹出的对话框 运行1.exe 2.exe 5.exe 6.exe 我点拒绝运行 每次开机都会有  路径是C:  可是我打开C盘里面却没有 (已经点了文件夹选项的显示隐藏文件)  电脑设置的时间自动变为1981.1. 10:10  昨天newcengturymoon让删除的那些我已经全删除了 这些是什么啊?能够帮帮我吗?急!!!谢谢了,感激不尽!

http://forum.ikaka.com/topic.asp?board=28&artid=8322881

http://forum.ikaka.com/topic.asp?board=28&artid=8330695

再扫次SRENG日志上来