文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

HOSTS 文件
127.0.0.1      localhost
127.0.0.1      mmm.caifu18.net
127.0.0.1      www.18dmm.com
127.0.0.1      d.qbbd.com
127.0.0.1      www.5117music.com
127.0.0.1      www.union123.com
127.0.0.1      www.wu7x.cn
127.0.0.1      www.54699.com
127.0.0.1      www1.6tan.com
127.0.0.1      www2.6tan.com
127.0.0.1      www.97725.com
127.0.0.1      down.97725.com
127.0.0.1      ip.315hack.com
127.0.0.1      ip.54liumang.com
127.0.0.1      www.41ip.com
127.0.0.1      xulao.com
127.0.0.1      www.heixiou.com
127.0.0.1      www.9cyy.com
127.0.0.1      www.hunll.com
127.0.0.1      www.down.hunll.com
127.0.0.1      do.77276.com
127.0.0.1      www.baidulink.com
127.0.0.1      adnx.yygou.cn
127.0.0.1      222.73.220.45
127.0.0.1      www.f5game.com
127.0.0.1      www.guazhan.cn
127.0.0.1      wm,103715.com
127.0.0.1      www.my6688.cn
127.0.0.1      i.96981.com
127.0.0.1      d.77276.com
127.0.0.1      www1.cw988.cn
127.0.0.1      cool.47555.com
127.0.0.1      www.asdwc.com
127.0.0.1      55880.cn
127.0.0.1      61.152.169.234
127.0.0.1      cc.wzxqy.com
127.0.0.1      www.54699.com
127.0.0.1      t.gcuj.com
127.0.0.1      www.puma163.com
127.0.0.1      ceoww.com
127.0.0.1      boolom.com
127.0.0.1      adult-novel.cn
127.0.0.1      ll.chinasese.net
127.0.0.1      www.tellumore.com
127.0.0.1      www.o1wg.com
127.0.0.1      www.qq756.com
127.0.0.1      ll.chinasese.net

API HOOK
入口点错误：LoadLibraryExW (危险等级: 一般,  被下面模块所HOOK: C:\KAV2005\KASocket.dll)

==================================
隐藏进程
    [2528] D:\游戏\跑跑卡丁车\M01\GameGuard\GameMon.des

还有好多进程 发 不完都啊  这些  够吗 帮看看谢谢了

大哥们  帮我看看啊  现在什么程序都不行啊  系统还原以后 还有这样的问题 到底是怎么回事啊???

我推荐用微 点。

进到安全模式下[安全模式进入方法:重启电脑时按住F8 选择进入安全模式],
运行SREng-在"启动项目->注册表->删以下启动项目
<EXPLORER><C:\Program Files\Common Files\System\wab32res.exe> []
<ryirgs><C:\DOCUME~1\liu\LOCALS~1\Temp\iexpl0re.exe> []
<kv93rkd2><C:\DOCUME~1\liu\LOCALS~1\Temp\crasos.exe> []
<wg10xj965dbv8><C:\DOCUME~1\liu\LOCALS~1\Temp\Servera.exe> []
<fy><C:\WINDOWS\Sysfy3\svchost.exe> []
<wm><C:\WINDOWS\Syswm7\svchost.exe> []
<wl><C:\WINDOWS\Syswl3\svchost.exe> []
<sun><C:\WINDOWS\SysSun2\svchost.exe> []
<JT><C:\WINDOWS\SysJT3\svchost.exe> []
<Exprer><C:\WINDOWS\Exprer.exe> []

运行SREng-在"启动项目->服务->"Win32服务应用程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除（选中有问题的服务后，点“删除服务”，点“设置”按钮即可。  注意弹出的窗口中要点 “NO 否”才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):
[TCP/IP Check / Hello Download][Stopped/Auto Start]
<C:\Program Files\Common Files\System\wab32res.exe><N/A>

删除以下文件:
C:\WINDOWS\system32\Exprer.dll
C:\WINDOWS\Sysfy3\Ghook.dll
C:\WINDOWS\Syswl3\Ghook.dll
C:\WINDOWS\SysSun2\Ghook.dll
C:\WINDOWS\Syswm7\Ghook.dll
C:\WINDOWS\SysJT3\Ghook.dll
C:\WINDOWS\HKNTDLL.dll
C:\Program Files\Common Files\System\wab32res.exe
C:\WINDOWS\Exprer.exe
C:\WINDOWS\SysSun2\svchost.ex
C:\WINDOWS\SysJT3\svchost.exe
C:\WINDOWS\Sysfy3\svchost.exe
<wm><C:\WINDOWS\Syswm7\svchost.exe
<wl><C:\WINDOWS\Syswl3\svchost.exe
C:\Program Files\Common Files\System\wab32res.exe

C:\DOCUME~1\liu\LOCALS~1\Temp\清空这个文件夹。

SRE--系统修复--hosts文件--重置

还有问题,再扫个日志上来..

注册表
<EXPLORER><C:\Program Files\Common Files\System\wab32res.exe> []
<ryirgs><C:\DOCUME~1\liu\LOCALS~1\Temp\iexpl0re.exe> []
<kv93rkd2><C:\DOCUME~1\liu\LOCALS~1\Temp\crasos.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<fy><C:\WINDOWS\Sysfy3\svchost.exe> []
<wm><C:\WINDOWS\Syswm7\svchost.exe> []
<wl><C:\WINDOWS\Syswl3\svchost.exe> []
<sun><C:\WINDOWS\SysSun2\svchost.exe> []
<JT><C:\WINDOWS\SysJT3\svchost.exe> []
服务

[TCP/IP Check / Hello Download][Stopped/Auto Start]
<C:\Program Files\Common Files\System\wab32res.exe><N/A>
[Windows Accounts Driver / WindowsConnections][Running/Auto Start]
<C:\WINDOWS\system32\server.exe><N/A>


运行程序
注入桌面
[PID: 1444][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\Exprer.dll] [N/A, ]
[C:\WINDOWS\Sysfy3\Ghook.dll] [N/A, ]
[C:\WINDOWS\Syswm7\Ghook.dll] [N/A, ]
[C:\WINDOWS\SysJT3\Ghook.dll] [N/A, ]
[C:\WINDOWS\SysSun2\Ghook.dll] [N/A, ]
[C:\WINDOWS\Syswl3\Ghook.dll] [N/A, ]
[C:\WINDOWS\HKNTDLL.dll] [N/A, ]
[C:\DOCUME~1\liu\LOCALS~1\Temp\LgSy0.dll] [N/A, ]
[C:\DOCUME~1\liu\LOCALS~1\Temp\Msxo1.dll] [N/A, ]
[C:\DOCUME~1\liu\LOCALS~1\Temp\Kavs1.dll] [N/A, ]

注入VTtrayp.exe,SOUNDMAN.EXE等，几乎每个都注入
[C:\WINDOWS\SysJT3\Ghook.dll] [N/A, ]
[C:\WINDOWS\SysSun2\Ghook.dll] [N/A, ]
[C:\WINDOWS\Syswl3\Ghook.dll] [N/A, ]
[C:\WINDOWS\Syswm7\Ghook.dll] [N/A, ]
[C:\WINDOWS\Sysfy3\Ghook.dll] [N/A, ]

调用svchost.exe
[PID: 1904][C:\WINDOWS\Sysfy3\svchost.exe] [N/A, ]
[C:\WINDOWS\Sysfy3\Ghook.dll] [N/A, ]
[PID: 1916][C:\WINDOWS\Syswm7\svchost.exe] [N/A, ]
[C:\WINDOWS\Syswm7\Ghook.dll] [N/A, ]
[PID: 1952][C:\WINDOWS\Syswl3\svchost.exe] [N/A, ]
[C:\WINDOWS\Syswl3\Ghook.dll] [N/A, ]
[PID: 120][C:\WINDOWS\SysSun2\svchost.exe] [N/A, ]
[C:\WINDOWS\SysSun2\Ghook.dll] [N/A, ]
[PID: 144][C:\WINDOWS\SysJT3\svchost.exe] [N/A, ]
[C:\WINDOWS\SysJT3\Ghook.dll] [N/A, ]

修改的HOSTS 文件倒是挺有意思，似乎屏蔽的都是黄色网站

非常霸道的一个木马，恐怖哦！！

先建议你把上面的文件设法删除，不要重启，再扫描日志，发上来

如果对系统不是狠熟悉，还是建议你重新安装系统吧，

呵呵，火影比我快哦

毒窝！