现在,msconfig 不能运行
双击D:盘,也不能打开,一定要从别的途径才能打开D盘.

O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - 启动项HKLM\\Run: [Systems32] C:\WINDOWS\System32\Server.exe
在任务管理器中结束进程smss.exe和Server.exe

到安全模式下删除
C:\WINDOWS\smss.exe
C:\WINDOWS\System32\Server.exe

O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - 启动项HKLM\\RunServices: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
1.终止进程WINLOGON.EXE
终止进程，注意别把小写的winlogon给禁止了
再进入注册表,删除如下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan pragramme


2.逐一删除染毒文件，清理或恢复注册表信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe 1"
更改为
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe "
把上面被列出后缀为com的文件在注册表里搜索，找到后，在注册表里的文件后缀由.com改为.exe

C:\WINDOWS\System32\zt.exe
在任务管理器中结束进程zt.exe

到安全模式下删除
C:\WINDOWS\zt.exe
C:\WINDOWS\taskmir.exe

以上都修复后，请使用HIJACKTHIS重新启动后扫描上来

仔细看了你介绍的帖子:
http://forum.ikaka.com/topic.asp?board=28&artid=7495863&page=1

在注册表里找到很多项被改成iexplore.com和finder.com.等东西

想听听  我无邪 的意见,是不是需要按照那文章说的20条,改我的注册表?
等你的意见.

谢谢关注
我恢复过了，我先重新发个新的hijack的日志上来，你们看看

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      17:17:33, 日期 2006-8-21
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
D:\悲愤\优选工具1\Ava find pro-G\AvaFind Pro\AvaFind Pro\AvaFind.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\WINLOGON.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\悲愤\优选工具\病毒和恶意代码\HijackThis 1.99.1\HijackThis1991-HA\HijackThis1991zww.exe

F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\Program Files\Kingsoft\Powerword 2003\XDictExB.dll
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A35F636-BF73-4FA3-A625-CCF3C3B8E140}: NameServer = 211.167.97.200,211.167.97.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{14C4942E-08CB-4960-8A4D-FAC13B0A5250}: NameServer = 211.167.97.200,211.167.97.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCEA3C85-442E-4F98-9213-E1E9DC51E48A}: NameServer = 211.167.97.200,211.167.97.67
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A35F636-BF73-4FA3-A625-CCF3C3B8E140}: NameServer = 211.167.97.200,211.167.97.67
O18 - 列举现有的协议: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\Program Files\Kingsoft\Powerword 2003\XDictExB.dll
O23 - NT 服务: McAfee Framework 服务 (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - NT 服务: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - NT 服务: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

引用:

【fzzfzz的贴子】仔细看了你介绍的帖子: http://forum.ikaka.com/topic.asp?board=28&artid=7495863&page=1 在注册表里找到很多项被改成iexplore.com和finder.com.等东西 想听听  我无邪 的意见,是不是需要按照那文章说的20条,改我的注册表? 等你的意见. ………………

完全可以参照那篇贴子，

知道其中的
当前运行的进程：C:\WINDOWS\WINLOGON.EXE 是木马，
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
有问题
但是没法找到源头

秋日里的蓝天，谢了！

回头我去改注册表。
是不是需要先用regedit121 修复一下？

引用:

【fzzfzz的贴子】知道其中的 当前运行的进程：C:\WINDOWS\WINLOGON.EXE 是木马， O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE 有问题 但是没法找到源头 ………………

按baohe版主一定可以解决你的问题，

那篇贴子我才看到，