1、    下载并安装XDelBox ：

(http://www.i170.com/Attach/51FD704F-C0BD-41E7-B0E9-60673A888FD6)

使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。



用XDelBox删除以下文件：

C:\WINDOWS\winform.exe

C:\WINDOWS\mppds.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe

C:\WINDOWS\cmdbs.exe

C:\WINDOWS\testexe.exe

C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\shualai.exe

C:\WINDOWS\cmdbcs.exe

C:\WINDOWS\system32\servet.exe

C:\WINDOWS\system32\nwizAsktao.dll

C:\WINDOWS\system32\mppds.dll

C:\WINDOWS\system32\cmdbs.dll

C:\WINDOWS\system32\winform.dll

C:\WINDOWS\system32\testdll.dll

C:\WINDOWS\system32\Kvsc3.dll

C:\WINDOWS\system32\cmdbcs.dll

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll

C:\WINDOWS\system32\shualai.dll



2、    搜索LYLoader.exe并删除。



3、运行SRENG--->启动项目--->注册表--->删除以下注册表：

<winform><C:\WINDOWS\winform.exe>  []

    <mppds><C:\WINDOWS\mppds.exe>  []

    <upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe>  []

    <cmdbs><C:\WINDOWS\cmdbs.exe>  []

    <testrun><C:\WINDOWS\testexe.exe>  []

    <Kvsc3><C:\WINDOWS\Kvsc3.exe>  []

    <shualai><C:\WINDOWS\shualai.exe /i>  []

    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []

<MSDEG32    ><LYLoader.exe>  []



4、删除下面的服务（运行SRENG--->启动项目--->服务--->win32服务应用程序--->选择要删除的服务--->选择删除服务--->点击设置--->出现提示里选择否，确认删除）：

Windows_SystemDown / WindowsDown][Stopped/Auto Start]

  <C:\WINDOWS\system32\servet.exe><N/A>







XDELBOX  下载地址：http://forum.ikaka.com/topic.asp?board=28&artid=8381032

看看搞完上面的再发一次。这次以附件形式发。。把文件改成TXT结尾的。。

2006-11-17 10:11
这个木马伪装成ATi显卡服务，有点可恶！生成文件：
如果系统在C盘就是
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe
并创建注册表服务项

清除方法
==========
1.右击任务栏打开任务管理器，结束ati2evxx.exe进程
（注：如果你的显卡是ATi的，用户名是SYSTEM的ati2evxx.exe进程是正常的，而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程）

2. 删除病毒文件：
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe

3. 删除注册表服务项：
运行regedit打开注册表，用寻找ati2evxx.exe的方法来删除，如果你的显卡是ATi的注意路径是
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe

不要把正常的给删除了，不过要是删错的话，清完毒后，重装一下ATi的显卡驱动也可以

From http://zhidao.baidu.com/question/27510661.html
崔老师，您好！最近遇到oduxyym.exe和veckdld.exe病毒，目前根据一些网友已经解决部分问题，但还是没有彻底清楚，之前防火墙和杀毒软件根本就没办法启动，重启机子时间退到1980年；现在这两个进程已经解决，启动机子该时间后VirusScan杀毒软件提示病毒C:\WINDOWS\System32\AVPSrv.dll，用XDelBox都无法删除，且不能关闭，将自动弹出，实在没办法只能麻烦崔老师帮忙了，谢谢！辛苦了：）
问题补充：安全模式下最新日志地址
http://hi.baidu.com/think%5Fzt/blog/item/9f487060f2045645ebf8f8c2.html
http://hi.baidu.com/think%5Fzt/blog/item/8cb1fc11afd7a7c7a7ef3fc2.html


具体问题具体分析。请勿随意对号入座。如下是根据你的日志的分析结果

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

关闭QQ等应用程序。

2.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: http://post.baidu.com/f?kz=158203765
【删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm。】
【友情提醒1：有找不到提示的，请一个文件一个文件的输入“文件路径”中，不存在的忽略即可】
【友情提醒2：重要！ 不管您以前有无下载过XDELBOX,请按我的链接下载最新的1.2版！以防系统崩溃。】
【友情提醒3：单个文件导入的时候可以考虑勾选“抑制文件再生”（删除文件后生成一个同名的文件夹）相当于一定程度的免疫】
c:\windows\system32\15.dll
c:\program files\common files\microsoft shared\msinfo\syswfgqq2.dll
c:\windows\kvsc3.exe
c:\windows\msccrt.exe
c:\windows\msimms32.exe
c:\windows\avpsrv.exe
c:\windows\upxdnd.exe
c:\windows\mppds.exe
c:\windows\cmdbcs.exe
c:\windows\wsvbrs.exe
c:\docume~1\zt\locals~1\temp\c0nime.exe
c:\windows\system32\.exe
c:\windows\system32\4621a5c4.exe
c:\windows\system32\b74ea9de.exe
c:\docume~1\zt\locals~1\temp\ravwm.exe

3. 重启计算机后，用工具 SREng 进行如下的操作:
下载及其使用方法看下面的链接【有图解】，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】
【打开SREng后提醒“警告！下面的函数内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，是你装杀软后的正常修改。】

==================================
启动项目 -->注册表 的如下项删除
[{C54C4AFB-8A2A-6C1E-BA41-C20F02940401}] <C:\WINDOWS\System32\15.dll>
[{91B1E846-2BEF-4345-8848-7699C7C9935F}] <C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>
[Kvsc3] <C:\WINDOWS\Kvsc3.exe>
[msccrt] <C:\WINDOWS\msccrt.exe>
[MsIMMs32] <C:\WINDOWS\MsIMMs32.exe>
[AVPSrv] <C:\WINDOWS\AVPSrv.exe>
[upxdnd] <C:\WINDOWS\upxdnd.exe>
[mppds] <C:\WINDOWS\mppds.exe>
[cmdbcs] <C:\WINDOWS\cmdbcs.exe>
[WSVBRS] <C:\WINDOWS\WSVBRS.exe>
[ityhwtx27] <C:\DOCUME~1\ZT\LOCALS~1\Temp\c0nime.exe>
[] <C:\WINDOWS\System32\.exe>

启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[838D1C06 / 838D1C06] <C:\WINDOWS\System32\4621A5C4.EXE -k>
[9405C222 / 9405C222] <C:\WINDOWS\System32\B74EA9DE.EXE -d>
[WinWMServiceNow / WinWMServiceNow] <C:\DOCUME~1\ZT\LOCALS~1\Temp\RAVWM.EXE>

最后用 下文推荐的工具清理（WINDOWS清理助手或者超级兔子） 把能检测到的全选后点清理（删除）参考
http://post.baidu.com/f?kz=149133630

注意修改QQ ，网络游戏等帐号密码等。切记切记！

。。。。。。。。感觉可以把机报废了。。最近比较出名跟流行的都有～

[3035E902 / 3035E902][Stopped/Auto Start]
<C:\WINDOWS\System32\49DE0844.EXE -k><Microsoft Corporation>

C:\Autorun.inf
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
AUTO.EXE

是不是少了?

建议:
重新下载SRENG，存放在桌面解压运行(不要存到其他位置，否则使用此工具的过程可能又激活病毒）。
删除
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<GenProtect><C:\WINDOWS\GenProtect.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<mppds><C:\WINDOWS\mppds.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDRV.EXE> []
<MsPrint32D><C:\WINDOWS\MsPrint32D.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<WinSysM><C:\WINDOWS\215366M.exe> [N/A]
<msccrt><C:\WINDOWS\msccrt.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
启动文件夹
[腾讯QQ]
<C:\Documents and Settings\李剑\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>
服务
[3035E902 / 3035E902][Stopped/Auto Start]
<C:\WINDOWS\System32\49DE0844.EXE -k><Microsoft Corporation>
下载xdelbox.
删除
C:\WINDOWS\System32\82393EFE.DLL
C:\WINDOWS\System32\LYMANGR.DLL
C:\WINDOWS\System32\msccrt.dll
C:\WINDOWS\System32\GenProtect.dll
C:\WINDOWS\System32\Kvsc3.dll
C:\WINDOWS\System32\pxqjmr.dll
C:\WINDOWS\System32\mppds.dll
C:\WINDOWS\System32\DbgHlp32.dll
C:\WINDOWS\System32\NVDispDrv.dll
C:\WINDOWS\System32\MsPrint32D.dll
C:\WINDOWS\System32\sdjloe.dll
C:\WINDOWS\System32\upxdnd.dll
C:\WINDOWS\215366MM.DLL
C:\WINDOWS\System32\LotusHlp.dll
C:\WINDOWS\System32\yoovzz.dll
C:\WINDOWS\GenProtect.exe
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\mppds.exe
C:\WINDOWS\NVDispDRV.EXE
C:\WINDOWS\MsPrint32D.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\215366M.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\MsIMMs32.exE

运行WINRAR,使用WINRAR删除c,d,e盘的Autorun.inf
通过WINRAR查找下列文件，找到后删除
LYLoader.exe
LYLoadbr.exe
LYLeador.exe
LYLoador.exe
LYLoadar.exe
LYLoadmr.exe
LYLoadhr.exe
LYLoadqr.exe

xdelbox的下载及使用方法参看此帖http://forum.ikaka.com/topic.asp?board=28&artid=8391345
同时高度怀疑楼主的移动硬盘已经被感染，导致电脑格式化系统盘重装系统后重新被感染

引用:

【CAPTjoe的贴子】建议: 重新下载SRENG，存放在桌面解压运行(不要存到其他位置，否则使用此工具的过程可能又激活病毒）。 删除 启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <GenProtect><C:\WINDOWS\GenProtect.exe> [] <Kvsc3><C:\WINDOWS\Kvsc3.exE> [] <AVPSrv><C:\WINDOWS\AVPSrv.exE> [] <mppds><C:\WINDOWS\mppds.exe> [] <NVDispDrv><C:\WINDOWS\NVDispDRV.EXE> [] <MsPrint32D><C:\WINDOWS\MsPrint32D.exe> [] <DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [] <cmdbcs><C:\WINDOWS\cmdbcs.exe> [] <upxdnd><C:\WINDOWS\upxdnd.exe> [] <WinSysM><C:\WINDOWS\215366M.exe> [N/A] <msccrt><C:\WINDOWS\msccrt.exe> [] <LotusHlp><C:\WINDOWS\LotusHlp.exe> [] <MsIMMs32><C:\WINDOWS\MsIMMs32.exE> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <MSDEG32><LYLoader.exe> [] <MSDWG32><LYLoadbr.exe> [N/A] <MSDCG32 ><LYLeador.exe> [N/A] <MSDOG32><LYLoador.exe> [N/A] <MSDSG32><LYLoadar.exe> [N/A] <MSDMG32><LYLoadmr.exe> [N/A] <MSDHG32><LYLoadhr.exe> [N/A] <MSDQG32><LYLoadqr.exe> [N/A] 启动文件夹 [腾讯QQ] <C:\Documents and Settings\李剑\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N> 服务 [3035E902 / 3035E902][Stopped/Auto Start] <C:\WINDOWS\System32\49DE0844.EXE -k><Microsoft Corporation> 下载xdelbox. 删除 C:\WINDOWS\System32\82393EFE.DLL C:\WINDOWS\System32\LYMANGR.DLL C:\WINDOWS\System32\msccrt.dll C:\WINDOWS\System32\GenProtect.dll C:\WINDOWS\System32\Kvsc3.dll C:\WINDOWS\System32\pxqjmr.dll C:\WINDOWS\System32\mppds.dll C:\WINDOWS\System32\DbgHlp32.dll C:\WINDOWS\System32\NVDispDrv.dll C:\WINDOWS\System32\MsPrint32D.dll C:\WINDOWS\System32\sdjloe.dll C:\WINDOWS\System32\upxdnd.dll C:\WINDOWS\215366MM.DLL C:\WINDOWS\System32\LotusHlp.dll C:\WINDOWS\System32\yoovzz.dll C:\WINDOWS\GenProtect.exe C:\WINDOWS\Kvsc3.exE C:\WINDOWS\AVPSrv.exE C:\WINDOWS\mppds.exe C:\WINDOWS\NVDispDRV.EXE C:\WINDOWS\MsPrint32D.exe C:\WINDOWS\DbgHlp32.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\upxdnd.exe C:\WINDOWS\215366M.exe C:\WINDOWS\msccrt.exe C:\WINDOWS\LotusHlp.exe C:\WINDOWS\MsIMMs32.exE 运行WINRAR,使用WINRAR删除c,d,e盘的Autorun.inf 通过WINRAR查找下列文件，找到后删除 LYLoader.exe LYLoadbr.exe LYLeador.exe LYLoador.exe LYLoadar.exe LYLoadmr.exe LYLoadhr.exe LYLoadqr.exe xdelbox的下载及使用方法参看此帖http://forum.ikaka.com/topic.asp?board=28&artid=8391345 同时高度怀疑楼主的移动硬盘已经被感染，导致电脑格式化系统盘重装系统后重新被感染 ………………

不用怀疑拉。。。完全是移动硬盘感染拉。。他都说分盘了之后还有哦。。这里是完全独立的三种病毒啊。。。。唉。。。。
做完都2点。。不愿意看。我都直接把这三种毒的解决方法复制过来了

非常感谢“已成过去”兄的热情帮助和耐心解答，你给我的短消息等会我会认真看的。

但有一点需要指出，我是将我笔记本上的硬盘拆下，装到我的移动硬盘盒中（移动硬盘盒该不会带毒吧？），然后再在别的“干净”的电脑中格式化，然后用金山杀毒，然后重新分区，但只分了C盘，其他盘待这个硬盘装到我的笔记本上装好系统后再分（这样就能确保这些空间在装好系统之前不会染毒），当我将硬盘装到笔记本后我继续在DOS下再次格式化C盘。

至此，我认为我的这个硬盘不再有可能有毒了，但兄又说我的移动硬盘有毒，这是何意？

引用:

【关山渡的贴子】非常感谢“已成过去”兄的热情帮助和耐心解答，你给我的短消息等会我会认真看的。 但有一点需要指出，我是将我笔记本上的硬盘拆下，装到我的移动硬盘盒中（移动硬盘盒该不会带毒吧？），然后再在别的“干净”的电脑中格式化，然后用金山杀毒，然后重新分区，但只分了C盘，其他盘待这个硬盘装到我的笔记本上装好系统后再分（这样就能确保这些空间在装好系统之前不会染毒），当我将硬盘装到笔记本后我继续在DOS下再次格式化C盘。 至此，我认为我的这个硬盘不再有可能有毒了，但兄又说我的移动硬盘有毒，这是何意？ ………………

如果按你这样说的话。。。怎么病毒那么多。。我都发现了三个独立的病毒群了。。。
这样吧。。你按上面的方法把机清了之后再发一个新贴在论坛然后给别人看看吧。。。