这里下载冰刃（1.2版本）：http://forum.ikaka.com/topic.asp?board=67&artid=8283060
然后断网，关闭一切能关闭的东西，包括防火墙，杀软，网页，QQ，已断网了，所有加入内存的软件，都尽量退出。
运行冰刃（1.2版本），禁止进程创建，
强行卸除以下进程
==================================
正在运行的进程
[PID: 1876][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1968][C:\Program Files\Microsoft IntelliType Pro\itype.exe] [Microsoft Corporation, 5.50.662.0]
[PID: 1976][C:\Program Files\Super Rabbit\MagicSet\memdef.exe] [, 4.0.0.0]
[PID: 2000][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2008][C:\Program Files\DAEMON Tools\daemon.exe] [DT Soft Ltd., 4.09.0.0]
[PID: 316][C:\Program Files\FlashGet\flashget.exe] [FlashGet.com, 1, 8, 6, 1008]
[PID: 436][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1356][C:\Program Files\Maxthon\Maxthon.exe] [Maxthon International Ltd., 1, 6, 0, 10]
[PID: 3680][D:\download\sreng2\SREng.EXE] [Smallfrogs Studio, 2.4.12.806]
可能冰刃进程被插入模块，试着卸除被插入的模块
模块：
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmt] [N/A, ]
[C:\WINDOWS\system32\csv.dll] [N/A, ]
[C:\WINDOWS\system32\weftl.dll] [N/A, ]
[C:\WINDOWS\system32\wtfsm.dll] [N/A, ]
[C:\WINDOWS\system32\htysx.dll] [N/A, ]
[C:\WINDOWS\system32\wuhdd.dll] [N/A, ]
[C:\WINDOWS\system32\zwgfx.dll] [N/A, ]
[C:\WINDOWS\system32\scandisk.dll] [N/A, ]
用冰刃强行删除下面模块文件：
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmt] [N/A, ]
[C:\WINDOWS\system32\csv.dll] [N/A, ]
[C:\WINDOWS\system32\weftl.dll] [N/A, ]
[C:\WINDOWS\system32\wtfsm.dll] [N/A, ]
[C:\WINDOWS\system32\htysx.dll] [N/A, ]
[C:\WINDOWS\system32\wuhdd.dll] [N/A, ]
[C:\WINDOWS\system32\zwgfx.dll] [N/A, ]
[C:\WINDOWS\system32\scandisk.dll] [N/A, ]
————————————————————————————————
取消冰刃的禁止进程创建，用扫日志的SRENG工具删除下面注册表项。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmt> []
<{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}><C:\WINDOWS\system32\scandisk.dll> []
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> [N/A]
——————————————————————————————————
用扫日志的SRENG工具修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><userinit.exe,> [(Verified)Microsoft Windows Publisher]
将
<Userinit><userinit.exe,> [(Verified)Microsoft Windows Publisher]
改为
<Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]

如果你没有使用木马克星，就用扫日志的SRENG工具修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><APIHookDll.dll> [N/A]
将<AppInit_DLLs><APIHookDll.dll> [N/A]置空
___________________________________________________________________
用扫日志的SRENG工具将下面的各项启动类型改为“Disabled”，
服务
[D1ACE2C8 / D1ACE2C8][Stopped/Auto Start]
<C:\WINDOWS\system32\E3E79B70.EXE -d><N/A>
————————————————————————————————————————————
用冰刃在系统文件夹里C:\windows/system32找下面文件删除。一定得找到。
C:\WINDOWS\system32\E3E79B70.EXE
LYLoadbr.exe
LYLeador.exe
LYLoador.exe
LYLoadar.exe
LYLoadmr.exe
LYLoadhr.exe
LYLoadqr.exe
——————————————————————————————————————————
重启电脑，不行，就再扫日志。
没异常，就安装并升级杀软至最新版本，全盘杀毒。

C:\WINDOWS\system32\E3E79B70.EXE关键是他在不断下载那些病毒

自己确定C:\WINDOWS\system32\scandisk.dll

到底是不是和上面提到的病毒文件创建时间一样，如果不一样，估计是系统的，就不要动它了。

放弃删除它的文件和注册表项，忙去吧。

我实在记不得这个scandisk.dll东西了。