文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. [hh.exe %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  Error. [notepad.exe %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
N/A

==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 360, C:\PROGRAM FILES\ANALOG DEVICES\SOUNDMAX\SMAX4.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 540, C:\PROGRAM FILES\联想\联想标准键盘驱动\SKDAEMOND.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 344, C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 864, C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 988, C:\PROGRAM FILES\RISING\RAV\RAVMON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2200, C:\PROGRAM FILES\SUPER-DATA\SUPER-DATA ADSL8MU\DSLMON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2732, C:\PROGRAM FILES\RISING\RAV\RSAGENT.EXE]

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================


[/CODE]

帮帮忙看一下,谢谢了!

一、用SRENG扫描工具删除以下注册表值项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<CONFIG><C:\Program Files\Common Files\System\temp[2].exe> [N/A]
==================================
二、用SRENG扫描工具删除以下服务项目
[WinMessenger / WinMessenger][Running/Auto Start]
<C:\WINDOWS\system32\winmessenger.exe><Microsoft Corporation>
==================================
三、用SRENG扫描工具删除以下驱动程序
[cjheafeg / cjheafeg][Stopped/Boot Start]
<\SystemRoot\system32\drivers\cjheafeg.sys><N/A>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>
==================================
四、重启进入安全模式，删除以下文件：
C:\WINDOWS\system32\drivers\cjheafeg.sys
C:\Program Files\Common Files\System\temp[2].exe
C:\WINDOWS\system32\winmessenger.exe
C:\WINDOWSsystem32\drivers\npf.sys
[C:\WINDOWS\system32\wuaulct.exe] [N/A, ]
==================================
五、全盘杀毒
==================================
六、到我的网盘（地址见签名）下载WINDOWS清理助手，运行清理机中的流氓软件。

注意：删除注册表值项、删除服务项目、驱动项目的操作看这里：http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

首先感谢超级游戏迷,感谢你的帮助,可是还有疑问,按你的吩咐删除注册表,服务,驱动程序后进入安全模式,但是找不到
C:\WINDOWS\system32\drivers\cjheafeg.sys
C:\Program Files\Common Files\System\temp[2].exe
还有
C:\WINDOWS\system32\winmessenger.exe
[C:\WINDOWS\system32\wuaulct.exe] [N/A, ]
都是微软公司的,我没敢乱删
只删了C:\WINDOWSsystem32\drivers\npf.sys
我还要干点什么呢?

引用:

【xingxingshou的贴子】首先感谢超级游戏迷,感谢你的帮助,可是还有疑问,按你的吩咐删除注册表,服务,驱动程序后进入安全模式,但是找不到 C:\WINDOWS\system32\drivers\cjheafeg.sys C:\Program Files\Common Files\System\temp[2].exe 还有 C:\WINDOWS\system32\winmessenger.exe [C:\WINDOWS\system32\wuaulct.exe] [N/A, ] 都是微软公司的,我没敢乱删 只删了C:\WINDOWSsystem32\drivers\npf.sys 我还要干点什么呢? ………………

第一个问题：可能病毒在注册表中添加服务后就删除了自身，或被瑞星给杀掉了，这样的话就别找了；也可能是你寻找时没有显示所有文件和文件夹，请用系统的搜索命令，先在“更多高级选项”中勾选“搜索系统文件和文件夹”、“搜索隐藏文件和文件夹”、“搜索子文件夹”这些项目后，再分别输入cjheafeg.sys、temp[2].exe，再点“搜索”。这样一来，如果不是自我毁灭的病毒的话，应该可以找到，找到后就可以手工删除它们；
第二个问题：那两个看似微软的进程文件是不折不扣的病毒无疑，冒充微软数字签名，斩之；
第三个问题：按照我上面说的做,检查和完成还没有做完的步骤，完成后重启电脑。

我已经成功解决这个病毒 在我的空间有详细介绍
http://hi.baidu.com/hhxxttsw/blog/item/844af4c800232e157e3e6f4c.html

我已经成功解决这个病毒 在我的空间有详细介绍
http://hi.baidu.com/hhxxttsw/blog/item/844af4c800232e157e3e6f4c.html

我也出现了同样的问题，跟LZ的一样，请超级游戏迷帮我也看看吧，多谢！！！

[CODE]

2007-08-27,09:56:37

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Home Edition Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background>  [(Verified)Microsoft Windows XP Publisher]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    <H/PC Connection Agent><"D:\PROGRA~1\MICROS~1\wcescomm.exe">  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Windows Publisher]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Windows Publisher]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Windows Publisher]
    <HotKeysCmds><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Microsoft Windows Publisher]
    <SoundMan><SOUNDMAN.EXE>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.]
    <runeip><C:\Program Files\Rising\AntiSpyware\runiep.exe>  [Beijing Rising Technology Co., Ltd.]
    <IMSCMig><C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>  [(Verified)Microsoft Corporation]
    <Adobe Photo Downloader><"C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe">  [(Verified)Adobe Systems Incorporated]
    <NeroFilterCheck><C:\WINDOWS\system32\NeroCheck.exe>  [Ahead Software Gmbh]
    <helper.dll><C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32>  [(Verified)"INTER CHINA NETWORK SOFTWARE (BEIJING) CO., LTD."]
    <CnsM.dll><Rundll32.exe C:\PROGRA~1\3721\CnsM.dll,Rundll32>  []