O23 - Service: Messenger - Unknown owner - C:\WINDOWS\system32\AUTOEXEC.BAT (file missing)
O23 - Service: Microsoft Winsock5 Service - Unknown owner - C:\WINDOWS\Microsoft Winsock5.exe
O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\发信息.exe (file missing)
O23 - Service: sys - Unknown owner - C:\WINDOWS\988510
O23 - Service: system - Unknown owner - C:\WINDOWS\system.exe
鸽子..安全模式...打开注册表编辑器，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
搜索Messenger
Microsoft Winsock5 Service
Schedule
sys 和  system  删除...
删除
C:\WINDOWS\988510
C:\WINDOWS\system.exe
C:\WINDOWS\Microsoft Winsock5.exe

修复
R3 - URLSearchHook: (no name) - {51707E60-11C0-44FB-BAC8-83EB0C93651C} - C:\WINDOWS\system32\Feve.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O1 - Hosts: 61.188.38.64 www.gamezt.com.cn
O1 - Hosts: 61.188.38.64 meng.nicemm.cn
O1 - Hosts: 61.188.38.64 upd.etsoft.com.cn
O1 - Hosts: 61.188.38.64 www.essonarts.com
O1 - Hosts: 61.188.38.64 ert0003.e76.163ns.com
O1 - Hosts: 61.188.38.64 sky001.e11.163ns.com
O1 - Hosts: 61.188.38.64 woool.100888290cs.com
O1 - Hosts: 61.188.38.64 rxjh.100888290cs.com
O1 - Hosts: 61.188.38.64 www.yowoool.com
O1 - Hosts: 61.188.38.64 13511.com
O1 - Hosts: 61.188.38.64 www.13511.com
O1 - Hosts: 61.188.38.64 ywg.cn
O1 - Hosts: 61.188.38.64 www.hyap98.com
O2 - BHO: (no name) - _{0005A87D-D626-4B3A-84F9-1D9571695F55} - (no file)
O2 - BHO: 搜索助手 - _{04844102-FC0B-4f44-9E93-0C4293BB5E80} - (no file)
O2 - BHO: (no name) - _{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: yPhtb - _{33BBE430-0E42-4f12-B075-8D21ACB10DCB} - (no file)
O2 - BHO: (no name) - _{35980F6E-A137-4E50-953D-813BB8556899} - (no file)
O2 - BHO: Anti Fish - _{38928D50-8A48-44C2-945F-D2F23F771410} - (no file)
O2 - BHO: YDragSearch - _{62EED7C6-9F02-42f9-B634-98E2899E147B} - (no file)
O2 - BHO: (no name) - _{669751ED-D558-49AE-B01A-3B374CC7910E} - (no file)
O2 - BHO: stdup - _{6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)
O2 - BHO: (no name) - _{9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - _{A9930D97-9CF0-42A0-A10D-4F28836579D5} - (no file)
O2 - BHO: (no name) - _{F5824EFB-728A-4726-A5A5-85A68B20EDC3} - (no file)
O2 - BHO: (no name) - {51707E60-11C0-44FB-BAC8-83EB0C93651C} - C:\WINDOWS\system32\Feve.dll (file missing)
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O4 - HKLM\..\Run: [Corel Reminder] rem
O4 - HKLM\..\Run: [runnn] rem C:\WINDOWS\system32\xskjab.exe
O4 - HKLM\..\Run: [runn] rem C:\WINDOWS\system32\xskjad.exe
O4 - HKLM\..\Run: [Net] rem C:\WINDOWS\system32\SVCH0ST.EXE
O4 - HKLM\..\Run: [] C:\WINDOWS\system32\intenat.exe
O4 - HKLM\..\Run: [wdfmgr32] C:\WINDOWS\system32\wdfmgr32.exe
O4 - HKLM\..\Run: [Tray] C:\WINDOWS\command\rundll32.exe
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O9 - Extra button: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
删除
C:\WINDOWS\SYSTEM32\stdup.dll
C:\WINDOWS\system32\xskjab.exe
C:\WINDOWS\system32\xskjad.exe
C:\WINDOWS\system32\SVCH0ST.EXE
C:\WINDOWS\system32\intenat.exe
C:\WINDOWS\system32\wdfmgr32.exe
C:\WINDOWS\command\rundll32.exe

http://www.pctutu.com/srmsdown.asp
下载超级兔子..用超级兔子清理王卸载流氓软件...(安全模式...)

处理完后...

http://forum.ikaka.com/topic.asp?board=28&artid=6979213  ⒊楼下载System Repair Engineer
解压-运行SREng.exe-智能扫描-扫描-保存日志
然后把日志内容复制上来

O4 - HKLM\..\Run: [ToP] rem C:\WINDOWS\LSASS.exe
处理方法:
1、断开网络连接。关闭瑞星杀软及瑞星防火墙（已被木马进程插入）。
2、结束木马进程C:\windows\LSASS.EXE。
3、删除木马文件（见附图）
4、重启。清理注册表：
先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。
展开：HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开：HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0
————————————————————
【要删除的木马文件见下图】

查杀方法如下：

一、结束WINLOGON.EXE进程。注意，装在C盘的NT系统：木马路径：C:\WINDOWS\WINLOGON.EXE；正常系统进程路经：C:\WINDOWS\SYSTEM32\WINLOGON.EXE。为避免误将系统进程WINLOGON.EXE结束而导致系统崩溃，动手前务必用IceSword等可以显示进程路径的工具鉴别一下。不要用微软自带的任务管理器（它根本就不显示进程路径！）。
二、下载RegFix（一个注册表修复工具）。将Regfix.exe的后缀改为scr，按确定。双击Regfix.scr，自动修复注册表主要文件关联项。
三、找到并删除下列文件（见附图）。
四、修改被木马篡改的注册表项：

1、HKEY_CLASSES_ROOT\.lnk\ShellNew
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"
删除"Command"="rundll32.com
2、HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"
将"Command"="%SystemRoot%\\system32\\rundll32.com改为"Command"="%SystemRoot%\\system32\\rundll32.exe
3、HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""

5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
删除@="rundll32.com
6、HKEY_CLASSES_ROOT\Drive\shell\find\command

将@="%SystemRoot%\\explorer.com"改为@="%SystemRoot%\\explorer.exe"

7、HKEY_CLASSES_ROOT\dunfile\shell\open\command

将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

8、HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"

10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

删除@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"

11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command
删除@=rundll32.com

12、HKEY_CLASSES_ROOT\inffile\shell\Install\command
删除@="%SystemRoot%\\System32\\rundll32.com

13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除@="finder.com

14、HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除@="finder.com
15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除@="\"C:\\WINDOWS\\system32\\finder.com\"

16、HKEY_CLASSES_ROOT\telnet\shell\open\command
删除@="finder.com

17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除@="%SystemRoot%\\system32\\finder.com
18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"

19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"

20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe 1"改为"Shell"="Explorer.exe"

O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:\WINDOWS\webwork\webwork.dll
控制面版-添加和删除程序-卸载 webwork

1、打开IceSword。用IceSword禁止进/线程创建。
2、用IceSword删除下列文件（图1）。有一个文件，IceSword删不掉。点击IceSword工具栏上的“文件”、“重启并监视”。重启系统后，即可删除。
3、删除其启动项（图2）。
4、剩下两个注册表项，自己打开注册表编辑器，找到后——删除！

（1）HKEY_CLASSES_ROOT\CLSID\
删除：{4C611512-2C1D-44b2-A044-872AD2AD5A61}
（2）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：Albus

图⒈



图⒉

学习了

可能是一个木马群,一下子中了那么多.

看着太复杂了，有没有简单点的，

....我也是觉得,,也太夸张啦...简直就是一笔大的生意啊

如果想彻底清除,好像没有什么简便方法

简直就是病毒库嘛。。。。咦，闪电回来啦