引用:

【天月来了的贴子】关键是不知道你的系统中的情况和你说的那地方一不一样哩？？？ 既然在那里你都看到SRENG日志了，怎说了那么多，还不见发SRENG日志附件来看看呢？？？ 扫SRENG日志发来 http://download.kztechs.com/files/sreng2.zip 下载System Repair Engineer 1 解压缩sreng2.zip 2 运行SREng.exe 3 智能扫描=》扫描=》保存报告 4 把日志中的报告完整拷贝贴上来，不要修改 或者可以把报告保存后以附件的形式发上来，把日志文件的扩展名改成“.txt” ………………

我也中了这个毒
autorun.inf文件不会杀,现在弄不下去了,楼上大侠帮看看吧,谢谢!

在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <NWEReboot><>  [N/A]
    <crsss><C:\WINDOWS\system32\Systvm.exe>  [N/A]
————————————————————————————————
这下的，不完全需要自启动的，愿意的话，也删除了吧
==================================
启动文件夹
[AutoCAD 启动加速器]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AutoCAD 启动加速器.lnk --> C:\PROGRA~1\COMMON~1\AUTODE~1\ACSTAR~1.EXE [Autodesk, Inc]><N>
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项，将启动类型改为“Disabled”
==================================
服务

[Remote IPRIP Listener / Iprip][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
[Infrared Monitor / Irmon][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\rimon.dll><Microsoft Corporation>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
  {53707962-6F74-2D53-2644-206D7942484F} <C:\PROGRA~1\SPYBOT~1\SDHelper.dll, Safer Networking Limited>
Microsoft Corporation>
[QuickFlash]
  {BF50AC63-19DA-487E-AD4A-0B452D823B59} <C:\WINDOWS\system32\fsutk.dll, >
[Quick search]
  {BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>
[同花顺]
  {39852EFE-325B-45ef-9A60-3DBECD2DDDD5} <C:\WINDOWS\system32\thsbar.dll, 同花顺>
[GovTifActiveX Control]
  {001290E5-CD10-4957-9D2B-FD2B74990219} <C:\WINDOWS\DOWNLO~1\GOVTIF~1.OCX, zhiquan>
[GovTifActiveX Control]
  {001290E5-CD10-4957-9D2B-FD2B74990219} <C:\WINDOWS\DOWNLO~1\GOVTIF~1.OCX, zhiquan>
——————————————————————————————————————————
重启电脑，用WinRAR打开各个磁盘，删除每个磁盘根目录下的下面两个文件：
Autorun.inf
Sos.Exe
——————————————————————————————————————————
升级杀毒软件至最新版本，全盘杀毒。

然后，还不行，可以再扫个新日志以附件形式发来看看。

同花顺是看股票的,先不删了吧?

引用:

【honeykgb的贴子】同花顺是看股票的,先不删了吧? ………………

可以啊，随便你，你自己确认没事的就可以自己选择的。

C:\windows\system32\systvm.exe压缩加密 123发送到newcenturymoon1986@yahoo.com.cn

楼上的斑竹XD,那个文件已经被我删掉了,不好意思不能发给你了,谢谢
谢谢天月来了大侠,我已经用XDELBOX删了AUTORUN.EXE和SOS.EXE
就是G:盘的居然藏在2个同名的文件夹里,要写成G:\AUTORUN.INF和G:\SOS.EXE才能删掉,现在正在最后扫描,等会儿发上来留做参考,再次谢谢天月来了!

晚上再传日志了

引用:

【honeykgb的贴子】晚上再传日志了 ………………

好了

这到底什么文件？自己去看看去。改个名，重启电脑。
c:\windows\system32\liprip.dll
C:\WINDOWS\System32\fsutk.dll
c:\windows\system32\rimon.dll
————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项，将启动类型改为“Disabled”
==================================
服务
[Remote IPRIP Listener / Iprip][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
[Infrared Monitor / Irmon][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\irmon.dll><N/A>
————————————————————————————————————
再重启电脑

引用:

【天月来了的贴子】这到底什么文件？自己去看看去。改个名，重启电脑。 c:\windows\system32\liprip.dll C:\WINDOWS\System32\fsutk.dll c:\windows\system32\rimon.dll ———————————————————————————— 在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面各项，将启动类型改为“Disabled” ================================== 服务 [Remote IPRIP Listener / Iprip][Running/Auto Start]   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation> [Infrared Monitor / Irmon][Running/Auto Start]   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\irmon.dll><N/A> ———————————————————————————————————— 再重启电脑 ………………

改了那3个文件的名字,重新启动没有什么问题,就是主页变成了BLANK
而那2个服务我改成disable以后重新启动状态变成STOPPED/AUTO START
又改成了DISABLE,还没有重起