具体经过：

昨天，在网上搜索look'n'stop，进去一个网站：

www.997.cn/SoftView/SoftView_5816.html

DrWeb马上报警，选择move操作。

有点好奇，看到上面有主站链接，于是点击。

网址是: www.997.cn

接着。。。。。。

DrWeb和avast疯狂报警。

DrWeb干掉7个，2个为启发式。

avast终止两个连线。

断网。

当时以为就这样没事了。

说知。。。。。。

出于安全考虑，打开Hijackthis扫描，DrWeb马上报警。



扫描后发现有一个可疑服务项：

SystemDown

文件路径：C:\Windows\system32\servet.exe

明显是木马程序。

DrWeb和avast两道防线被攻破了。

进去system32文件夹，没找到文件。

在“查看”里设置显示系统文件和受保护的文件和显示所有文件和文件夹。

还是看不到。

最后只好用SReng删除这个服务项。

删除后再打开Hijackthis扫描，这次DrWeb没有报警。

再用SReng扫描一遍，没发现什么异常。

然后拨号上网，打开VB浏览器的时候，

DrWeb和avast一起报警：

"Win32:Tibs-ADO [Trj]" has been found in "C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe" file. 



用DrWeb删除，发现无法删除。

用avast隔离，提示正在被使用，无法访问。

选择删除。

avast没有反应。

对了，忘了说一点，之前用瑞星防火墙发现：

进程中有cmd.exe，并且命令行好像是：(具体记不清了)

system32下的delete什么的.bat后缀名文件。

删除那个服务后就没这种情况了。

重新启动，为得是让avast删除那个文件。

启动后，再次拨号上网打开VB浏览器(注目一点，我在用星空极速，默认打开VB浏览器，虽然我总是用IE)

avast再次报警。

仍然无法访问。

下载瑞星文件粉碎工具，把路径填进去却提示没有找到文件。

只好把SSM装上，再次打开VB浏览器，

这时SSM提示资源管理器运行VB浏览器，(记不清了，很有可能搞错了)

但是可以确定的是：

命令行为运行C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe

用SSM禁止。

想问问各位大侠，到底该怎么解决。

先谢谢了。

清空所有的临时文件，什么Temporary Internet 下的文件都是上网时的垃圾，如果文件无法删除，可以先用icesword禁止进程创建，然后强力删除可以exe，然后去system32，按时间排列，看是否有最新的程序存在，可疑的话就删除。用sreng扫描系统，看有那些被修改，检查系统的服务和启动项，userinit等，把扫描日志发上来吧

ding