日志在下面，大家帮我看看了。这个东东比较嚣张，老是出一个DOS窗口，还告诉我找不到批处理文件。。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

首先重命名以下文件
C:\WINDOWS\system32\rsmyapm.dll
然后重启计算机 进入

安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （就是你扫日志的软件）
启动项目  注册表 删除如下项目
    <ravcqmon><C:\Program Files\NetMeeting\ravcqmon.exe>  []
    <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe>  [N/A]
    <ravqjmon><C:\Program Files\NetMeeting\ravqjmon.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <ravzxmon><C:\Program Files\NetMeeting\ravzxmon.exe>  []
  <{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys>  []
    <{90BC520C-9175-470E-94B8-10FD869D170B}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.yer>  []
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>  []

双击AppInit_DLLs把器键值改为空


双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击C盘（千万不要双击打开）
删除如下文件    [C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys]  [N/A, ]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.yer]  [N/A, ]
    [C:\Program Files\NetMeeting\ravcqmon.dat]  [N/A, ]
    [C:\Program Files\NetMeeting\ravmsmon.dat]  [N/A, ]
    [C:\Program Files\NetMeeting\ravqjmon.dat]  [N/A, ]
    [C:\Program Files\NetMeeting\ravzxmon.dat]  [N/A, ]
    <ravcqmon><C:\Program Files\NetMeeting\ravcqmon.exe>  []
    <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe>  [N/A]
    <ravqjmon><C:\Program Files\NetMeeting\ravqjmon.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <ravzxmon><C:\Program Files\NetMeeting\ravzxmon.exe>  []
C:\WINDOWS\system32\rsmyapm.dll

在左边的资源管理器中单击D盘（千万不要双击打开）
删除
SysAuto.exe autorun.inf

在左边的资源管理器中单击E盘（千万不要双击打开）
删除AutoRun.exe autorun.inf

【回复“newcenturymoon”的帖子】兄啊，还是不行哎，那几个文件删不掉，系统告诉我说写保护或者正在使用。另外，ravmsmon，这个找不到。还有，Sreng提示入口点错误：CreateProcessA和CreateProcessW。我又把日志贴在下面了。请帮我看一下。。。

日志在下面

还有啊，现在我每个硬盘分区里都出现了一个回收站和System Volume Information

引用:

【大大海无量的贴子】还有啊，现在我每个硬盘分区里都出现了一个回收站和System Volume Information ………………

这个是磁盘备份~没有问题
你的这个病毒我测试过了，你没去看过？

http://forum.ikaka.com/topic.asp?board=28&artid=8364245

主要是
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\tlvpri.dll] [N/A, ]
[C:\WINDOWS\system32\rsmyapm.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\rsztapm.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\jzipri.dll] [N/A, ]
[C:\Program Files\NetMeeting\ravzxmon.dat] [N/A, ]
[C:\Program Files\NetMeeting\ravqjmon.dat] [N/A, ]
[C:\Program Files\NetMeeting\ravmsmon.dat] [N/A, ]
[C:\Program Files\NetMeeting\ravcqmon.dat] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys]
这些都需要先改名重起后删除，你整体按阳光斑斑的方法，照做

嗯，我已经把它给干掉了，谢谢newcenturymoon，谢谢日不懂啊。噢，对了，不懂兄，你地名字怎解啊？呵呵。。。

引用:

【大大海无量的贴子】嗯，我已经把它给干掉了，谢谢newcenturymoon，谢谢日不懂啊。噢，对了，不懂兄，你地名字怎解啊？呵呵。。。 ………………

解释？嘿嘿

日不懂就是日不懂咯~~我也不知道为什么起这个名字，呵呵

卡卡论坛还有位“不懂”，那位来头比我大多了

这个家伙又出来了。它也忒顽强了。。有没有彻底防御死马的办法啊？？？

嗯，看起来好像是又干掉了。就是Sreng启动的时候还是报告入口点错误，我把截图粘在下面了。这是什么原因呢？刚刚杀毒又查出Trojan.PSW.Win32.ZeroOnline.ae。我命咋这么苦呢。。。