昨天刚清除，现在又来了，
症状：屏幕跳出窗口“a349801该程序执行了非法操作，即将关闭。。。”等等。
其文件为：1  c:\a349801.exe
          2  c:\windows\system\atiupdpl.exe
          3  c:\windows\system\atiupd.log
用瑞星查杀，显示1和2中有TrojanProxy.ATI.a病毒，第2项只能用KILLBOX强制删除，然后手工修改注册表run项后可暂时清除该木马病毒，但第二天它又会出来。
注：在安全模式下查杀也没用。
下面是我的扫描日志，请高手帮忙分析解决。谢谢！
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      11:56:15, 日期 2005-07-30
操作系统：  Windows 98 SE (Win9x 4.10.2222A)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
E:\瑞星\RAV\RAVMON.EXE
E:\瑞星\RAV\RAVMOND.EXE
E:\瑞星\RAV\CCENTER.EXE
E:\瑞星\RISING\RFW\RFWSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
E:\瑞星\RAV\RAVTIMER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
E:\瑞星\RAV\RSAGENT.EXE
C:\WINDOWS\MSAGENT\AGENTSVR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\ATIUPDPL.EXE
E:\IE修复软件\HIJACKTHIS1991汉化版\HIJACKTHIS1991ZWW.EXE

O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRAM FILES\3721\ASSIST\ASBAR.DLL
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\SYSTEM\XUNLEIBHO_V6.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CNSHOOK.DLL
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRAM FILES\3721\ASSIST\ANGLING.DLL
O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRAM FILES\3721\ASSIST\ASBAR.DLL
O3 - IE工具栏增项: 全能助手广告拦截专家 - {ED51E9A3-16C5-4236-99E0-9F093B021433} - E:\小」工ぞ具運\TWEAKASSIST\ASSISTIEBAR.DLL (file missing)
O4 - 启动项HKLM\\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - 启动项HKLM\\Run: [SystemTray] SysTray.Exe
O4 - 启动项HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - 启动项HKLM\\Run: [RavMon] E:\瑞星\Rav\RavMon.exe -system
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32
O4 - 启动项HKLM\\Run: [internat.exe] internat.exe
O4 - 启动项HKLM\\Run: [RavTimer] E:\瑞星\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe
O4 - 启动项HKLM\\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - 启动项HKLM\\RunServices: [RavMon] E:\瑞星\Rav\RavMon.exe -system
O4 - 启动项HKLM\\RunServices: [RavMond] E:\瑞星\Rav\RavMond.exe
O4 - 启动项HKLM\\RunServices: [RsCcenter] E:\瑞星\RAV\CCENTER.EXE
O4 - 启动项HKLM\\RunServices: [RfwService] "E:\瑞星\RISING\RFW\RFWSRV.EXE" -service
O4 - 启动项HKLM\\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe
O4 - 启动项HKCU\\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe
O4 - “启动”文件夹: Microsoft Office.lnk = E:\OFFCE\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: !搜一搜 - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\CnsMinEx.dll/1003
O8 - IE右键菜单中的新增项目: 添加到广告杀手 - E:\小工具\TWEAKASSIST\AdKiller.htm
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O18 - 列举现有的协议: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - 列举现有的协议: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - 列举现有的协议: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - 列举现有的协议: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - 列举现有的协议: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - 列举现有的协议: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - 列举现有的协议: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - 列举现有的协议: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - 列举现有的协议: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - 列举现有的协议: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - 列举现有的协议: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - 列举现有的协议: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - 列举现有的协议: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - 列举现有的协议: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - 列举现有的协议: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - 列举现有的协议: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - 列举现有的协议: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX

【回复“jychina”的帖子】

您好,重启电脑转到安全模式下修复:

O4 - 启动项HKLM\\RunServices: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe
O4 - 启动项HKCU\\Run: [atiupdpl] C:\WINDOWS\SYSTEM\atiupdpl.exe

删除文件:

C:\WINDOWS\SYSTEM\atiupdpl.exe(删不掉用killbox)

把注册表展开到
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run删除atiupdpl键值

我一直是这样查杀的，可仍旧没用。
下面是应您的要求，该病毒的压缩文件

唉！还没解决，今天又来了。等待高手帮忙解决。

KILL2004报.

那如何手工彻底查杀

1.病毒启动后将自己拷贝到系统目录下并且改名为 atiupdpl.exe，病毒将自己的进程注册为服务进程。
2.病毒在注册表中加如下列启动项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"atiupdpl" = %SYSTEM%\ATIUPDPL.EXE

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"atiupdpl" = %SYSTEM%\ATIUPDPL.EXE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"atiupdpl" = %SYSTEM%\ATIUPDPL.EXE

3.病毒启动7个线程其中的三个线程在不停的写入上述的注册表的启动项，因此病毒运行时注册表的启动项无法清除，一个线程不断的根据当前的时间和系统光标在屏幕上的位置生成一个随机数。还有两个线程在后台进行网络连接,访问网页http://jupitersatellites.biz/atidwnld/access.php

我甚至把http://jupitersatellites.biz/atidwnld/access.php该网址添加到限制站点都没用，我知道它进住了后台进程，但无法彻底清除，各位高手有什么好的方法吗？

O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\rundll32.exe
是灰鸽子.....

真的吗？瑞星从没提示过，三个星期了，曾疑惑过，没在意
那和这个木马有联系马？