帮我啊

日志尾巴哩

想看看关于“autorun.inf”项目哩

补来吧。

注意：删除病毒可能会具有一定的危险性 所以强烈建议操作前要把重要资料转移至非系统分区！
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<remotecontrol><C:\WINDOWS\system32\sysave.exe> [N/A]

清除启动文件夹
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\office.lnk --> C:\WINDOWS\system\SSLXPE~1.EXE [N/A]><N>
<C:\Documents and Settings\new\「开始」菜单\程序\启动\d3dTCL.exe --> [N/A]><H>
<C:\Documents and Settings\new\「开始」菜单\程序\启动\keyboardgamedriver.exe --> [N/A]><H>
<C:\Documents and Settings\new\「开始」菜单\程序\启动\powertimedriver.exe --> [N/A]><H>


“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[286EE121 / 286EE121][Stopped/Auto Start]
<C:\WINDOWS\system32\792405C6.EXE -k><>
[flashgamedriver / flashgamedriver][Stopped/Auto Start]
<C:\WINDOWS\system32\flashgamedriver.exe><N/A>
[VGADELL / VGADELL][Stopped/Auto Start]
<C:\WINDOWS\system32\VGADELL.exe><N/A>
[VGAlenovo / VGAlenovo][Stopped/Auto Start]
<C:\WINDOWS\system32\VGAlenovo.exe><N/A>


用SRENG扫描工具删除以下驱动程序
[gqu037 / gqu0374][Stopped/Disabled]
<System32\DRIVERS\gqu0374.sys><N/A>

重启计算机进入安全模式下删除
<remotecontrol><C:\WINDOWS\system32\sysave.exe> [N/A]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\office.lnk --> C:\WINDOWS\system\SSLXPE~1.EXE [N/A]><N>
<C:\Documents and Settings\new\「开始」菜单\程序\启动\d3dTCL.exe --> [N/A]><H>
<C:\Documents and Settings\new\「开始」菜单\程序\启动\keyboardgamedriver.exe --> [N/A]><H>
<C:\Documents and Settings\new\「开始」菜单\程序\启动\powertimedriver.exe --> [N/A]><H>
<C:\WINDOWS\system32\792405C6.EXE -k><>
<C:\WINDOWS\system32\flashgamedriver.exe><N/A>
<C:\WINDOWS\system32\VGADELL.exe><N/A>
<C:\WINDOWS\system32\VGAlenovo.exe><N/A>
<System32\DRIVERS\gqu0374.sys><N/A>

先清理这些吧

<remotecontrol><C:\WINDOWS\system32\sysave.exe> [N/A]
这个dd查了下不知道是什么。要小心

不过起的名倒是很直接喔

<StormCodec_Helper><; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti> []

这个难道也有假冒的？？

还有从正在运行的进程里看到：
[PID: 192 / new][C:\WINDOWS\system32\inf\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\lwisys16_071205.dll] [N/A, ]
[PID: 220 / new][C:\WINDOWS\system32\rundll32.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system\mydf071204.dll] [N/A, ]
这部分看，插入进程的两个模块得确定一下：
C:\WINDOWS\system\mydf071204.dll
C:\WINDOWS\system32\lwisys16_071205.dll
从IFEO劫持项来看，还有这个进程：
[PID: 192 / new][C:\WINDOWS\system32\inf\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
正常的不应该在那位置C:\WINDOWS\system32\inf\svchost.exe

怀疑是这两个搞的鬼，建议用冰刀强制删除
C:\WINDOWS\system32\lwisys16_071205.dll
C:\WINDOWS\system\mydf071204.dll

尾巴在这里，帮我看看
=================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================


[/CODE]

尾巴没什么了。

照前面说的慢慢找找吧。