文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
进程特权扫描
特殊特权被允许： SeDebugPrivilege [PID = 272, C:\WINDOWS\SYSTEM32\USERINIT.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 2808, C:\PROGRAM FILES\VIA\RAID\RAID_TOOL.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2808, C:\PROGRAM FILES\VIA\RAID\RAID_TOOL.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 480, D:\PROGRAM FILES\TENCENT\TT\TTRAVELER.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 480, D:\PROGRAM FILES\TENCENT\TT\TTRAVELER.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 4512, D:\PROGRAM FILES\THUNDER NETWORK\THUNDER\PROGRAM\THUNDER5.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 4512, D:\PROGRAM FILES\THUNDER NETWORK\THUNDER\PROGRAM\THUNDER5.EXE]

==================================
API HOOK
入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x00DF1FFD)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x00DF20E5)

==================================
隐藏进程
N/A

请直接以附件形式上传日志

直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。

引用:

【天月来了的贴子】直接将日志内容彻底复制到一个空记事本里，然后再保存，就可以以附件的形式发论坛来了。 一定以附件形式发这论坛来。 点击我这贴右下角的“引用”然后就应该知道怎么发了。 ………………

病毒名称：Trojan.PSW.Win32.GameOL.lzs
Trojan.DL.Win32.Mnless.yc
Trojan.PSW.Win32.GameOL.lvx
Trojan.PSW.Win32.OnlineGames.GEN
大概就这些  其余只是后缀不同
救命啊……扫描信息在楼上附件里

[PID: 2896 / Administrator][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[d:\program files\rising\rfw\ijt_base.dll] [Beijing Rising Technology Co., Ltd., 7.0.0.10]
[d:\program files\rising\rfw\olemon.dll] [Beijing Rising Technology Co., Ltd., 7.0.0.4]
[C:\WINDOWS\downlo~1\CnsMin.dll] [国风因特软件（北京）有限公司, 2.5.1.5]
[C:\WINDOWS\downlo~1\CnsHint.dll] [国风因特软件（北京）有限公司, 2.5.0.3]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [Yahoo! China, 3, 1, 5, 1033]
[C:\PROGRA~1\Yahoo!\ASSIST~1\yscrblock.dll] [Yahoo! China, 3, 0, 3, 1004]
[C:\PROGRA~1\3721\helper.dll] [国风因特软件（北京）有限公司, 2.5.4.1007]
[C:\PROGRA~1\3721\scrblock.dll] [3721, 2.5.0.1002]
[C:\PROGRA~1\3721\alrex.dll] [, 2.5.0.1002]
[C:\PROGRA~1\Yahoo!\ASSIST~1\yalive.dll] [yahoo! china, 3, 8, 0, 1140]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yalliveex.dll] [Yahoo! China, 3, 0, 3, 1012]
[C:\PROGRA~1\3721\autolive.dll] [国风因特软件（北京）有限公司, 2.5.6.1011]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll] [yahoo! china, 3, 5, 1, 1128]
[C:\WINDOWS\downlo~1\cnsplus.dll] [国风因特软件（北京）有限公司, 2.5.0.3]
[C:\WINDOWS\system32\KakaTool.dll] [Beijing Rising Technology Co., Ltd., 4.0.0.4]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\ysearch.dll] [Yahoo! China, 3, 3, 0, 1035]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasnoad.dll] [yahoo! china, 3, 0, 7, 1009]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yzsNetProto.dll] [Yahoo! China, 3, 0, 5, 1006]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll] [Yahoo! China, 3, 1, 2, 1013]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll] [Yahoo! China, 3, 1, 0, 1011]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yaswiper.dll] [Yahoo! China, 3, 1, 2, 1012]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasiesec.dll] [Yahoo! China, 3, 1, 3, 1015]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YSETTI~1.DLL] [yahoo! china, 3, 3, 0, 1044]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\ymailp.dll] [Yahoo! China, 3, 0, 7, 1013]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\ymyweb.dll] [Yahoo! China, 3, 0, 5, 1007]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\ypagetr.dll] [, 3, 0, 1, 1006]
[C:\WINDOWS\system32\RavExt.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.17]
[C:\Program Files\Tencent\QQDownload\QQIEHelper02.dll] [腾讯公司, 1, 1, 0, 5]
[C:\WINDOWS\downlo~1\CnsHook.dll] [国风因特软件（北京）有限公司, 2.5.1.7]
[D:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll] [Thunder Networking Technologies,LTD, 1.0.5.16]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll] [yahoo! china, 3, 0, 9, 1011]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL] [yahoo! china, 3, 1, 1, 1013]
[C:\PROGRA~1\OCINS\idnsvr.dll] [中国互联网信息中心(CNNIC), 2, 6, 0, 4]
[D:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll] [Thunder Networking Technologies,LTD, 5, 0, 8, 61]
[D:\Program Files\Thunder Network\Thunder\Components\ResWorker\DsBho_00.dll] [, 1, 0, 0, 17]
[D:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor_00.dll] [Thunder Networking Technologies,LTD, 1, 0, 0, 16]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yflashdl.dll] [Yahoo! China, 3, 1, 1, 1025]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yassist.dll] [Yahoo! China, 3, 2, 3, 1029]
[C:\WINDOWS\system32\winsrv32.dll] [N/A, ]
[C:\WINDOWS\system32\jhfrxz.dll] [N/A, ]
[C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\system32\mfdesy.dll] [N/A, ]
[C:\WINDOWS\system32\zjydcx.dll] [N/A, ]
[C:\WINDOWS\system32\hhrdxd.dll] [N/A, ]
[C:\WINDOWS\system32\sgrefg.dll] [N/A, ]
[C:\WINDOWS\system32\jhrcar.dll] [N/A, ]
[C:\WINDOWS\system32\hfrdzx.dll] [N/A, ]
[PID: 2452 / Administrator][C:\Program Files\rising\rav\Rav.exe] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 62]
[C:\WINDOWS\system32\bauhgnem.dll] [N/A, ]
[C:\WINDOWS\system32\eohsom.dll] [N/A, ]
[C:\WINDOWS\system32\tsqc.dll] [N/A, ]
[C:\WINDOWS\downlo~1\CnsMin.dll] [国风因特软件（北京）有限公司, 2.5.1.5]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [Yahoo! China, 3, 1, 5, 1033]
[C:\PROGRA~1\3721\helper.dll] [国风因特软件（北京）有限公司, 2.5.4.1007]
[C:\Program Files\rising\rav\ProcCom.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\Program Files\rising\rav\RsCommX2.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 19]
[C:\Program Files\rising\rav\Rsguilib.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 88]
[C:\WINDOWS\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\rising\rav\RsXML.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 0]
[C:\Program Files\rising\rav\PngDll.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 4]
[C:\Program Files\rising\rav\RsCommon.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 16]
[C:\WINDOWS\system32\winsrv32.dll] [N/A, ]
[C:\WINDOWS\system32\jhfrxz.dll] [N/A, ]
[C:\Program Files\rising\rav\ravpagem.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 92]
[C:\Program Files\rising\rav\htmllib.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.15]
[C:\WINDOWS\system32\RavExt.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.17]
[C:\Program Files\rising\rav\RSAPPMGR.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.0]
[C:\Program Files\rising\rav\CfgDll.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.10]
[C:\Program Files\rising\rav\ravpagew.dll] [Beijing Rising Technology Co., Ltd., 20, 0, 0, 84]
[C:\Program Files\rising\rav\fakescan.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.13]
[C:\Program Files\rising\rav\Scanner.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.36]
[C:\Program Files\rising\rav\BWList.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.4]
[C:\Program Files\rising\rav\SysMail.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.10]
[C:\Program Files\rising\rav\RsLog.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.30]
[C:\WINDOWS\system32\mfdesy.dll] [N/A, ]
[C:\WINDOWS\system32\zjydcx.dll] [N/A, ]
[C:\WINDOWS\system32\hhrdxd.dll] [N/A, ]
[C:\WINDOWS\system32\sgrefg.dll] [N/A, ]
[C:\WINDOWS\system32\jhrcar.dll] [N/A, ]
[C:\Program Files\Rising\Rav\RsStore.dll] [Beijing Rising Technology Co., Ltd., 20.0.0.8]
[C:\WINDOWS\system32\hfrdzx.dll] [N/A, ]

哇靠....菜鸟都能找到那么多东西
断网处理
下载XDELBOX，地址和使用方法：
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
Xdelbox下载：http://www.dodudou.com/down/ 里面的原创软件文件夹下载那个1.6版本

的，使用时一定拔掉所有移动存储设备。
一定要完全解压到一个文件夹里运行，不然可能有异常。
将下面的文件信息全部复制，然后打开Xdelbox直接在下面大窗口的空白处，使用右键菜

单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”
C:\WINDOWS\system32\nwizAsktao.exe
C:\WINDOWS\System32\drivers\rdpijhl.sys
C:\WINDOWS\system32\winsrv32.dll
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\jhfrxz.dll
C:\WINDOWS\system32\sgrefg.dl
C:\WINDOWS\system32\jhrcar.dll
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\drivers\ADProt.sys
C:\WINDOWS\system32\drivers\affdhgbj.sys
C:\WINDOWS\system32\drivers\ati32srv.sys
C:\WINDOWS\system32\drivers\cnprov.sys
C:\WINDOWS\system32\new.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp38.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp39.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp36.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp3C.tmp
C:\WINDOWS\System32\drivers\kbraohki.sys
C:\WINDOWS\System32\drivers\ojjcrfs.sys
C:\WINDOWS\system32a2.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp30.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp31.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp32.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp37.tmp
C:\WINDOWS\system32\ssup.dll
C:\PROGRA~1\OCINS\ieaux.dll
C:\Program Files\OCINS\config.exe
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
进入系统后，再做下面的：
去C:\WINDOWS\system32\dllcache文件夹里找userinit.exe
将userinit.exe复制到C:\WINDOWS\system32文件夹里替换
替换前先在任务管理器中结束Userinit.exe进程。没进程就直接替换
清空C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp里面的文件

在扫日志的SRENG工具》启动项目》注册表删除


<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{7914E0AA-ECCB-4311-B584-C49538227824}><C:\WINDOWS\system32\jhfrxz.dll> []
<{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll> []
<{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll> []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []


在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除







在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
[ADProt / ADProt][Stopped/System Start]
<\SystemRoot\system32\drivers\ADProt.sys><N/A>
[affdhgbj / affdhgbj][Stopped/Boot Start]
<\SystemRoot\system32\drivers\affdhgbj.sys><N/A>
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[cnprov / cnprov][Running/Boot Start]
<\SystemRoot\system32\drivers\cnprov.sys><中国互联网络信息中心(CNNIC)>
[CQSJ / CQSJ][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp38.tmp><N/A>
[deddhaej / deddhaej][Stopped/Boot Start]
<\SystemRoot\system32\drivers\deddhaej.sys><N/A>
DH / DH][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp35.tmp><N/A>
[DH3 / DH3][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp39.tmp><N/A>
[DJ / DJ][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp36.tmp><N/A>
[GJ / GJ][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp3C.tmp><N/A>
[idnaux / idnaux][Running/Auto Start]
<system32\drivers\idnaux.sys><中国互联网络信息中心(CNNIC)>
[kbraohki / kbraohki][Stopped/Manual Start]
<\SystemRoot\System32\drivers\kbraohki.sys><N/A
[msertk / msertk][Running/Auto Start]
<system32\drivers\msyecp.sys><N/A>
[New0 / New0][Running/Auto Start]
<\??\C:\WINDOWS\system32\new.sys><N/A>
[ojjcrfs / ojjcrfs][Stopped/Disabled]
<\SystemRoot\System32\drivers\ojjcrfs.sys><N/A>
[QJ / QJ][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp34.tmp><N/A>
[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>
[RXJH / RXJH][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp31.tmp><N/A>
[WL / WL][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp32.tmp><N/A>
[ZHTU / ZHTU][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp37.tmp><N/A>
[ZX / ZX][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp30.tmp><N/A>

在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除


[]
{669751ED-D558-49AE-B01A-3B374CC7910E} <C:\WINDOWS\system32\ssup.dll, N/A>
[IEAux Class]
{7605CC7C-00FD-4A5F-BAFD-828342DE6279} <C:\PROGRA~1\OCINS\ieaux.dll, 中国互联网络信息中心(CNNIC)>
[中文上网]
{B012491E-8FA4-4851-AA9B-22E33784FBAD} <C:\Program Files\OCINS\config.exe, 中国互联网络信息中心(CNNIC)>
[]
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair, N/A>
[]
{FD00D911-7529-4084-9946-A29F1BDF4FE5} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean, N/A>
[]
{669751ED-D558-49AE-B01A-3B374CC7910E} <C:\WINDOWS\system32\ssup.dll, N/A>
IEAux Class]
{7605CC7C-00FD-4A5F-BAFD-828342DE6279} <C:\PROGRA~1\OCINS\ieaux.dll, 中国互联网络信息中心(CNNIC)>



升级杀毒软件至最新版本，全盘杀毒。
这里官网下载Windows清理助手，清理你那系统。
http://www.arswp.com/

立即下载360