我电脑不能登录工行的网上银行了，换一台电脑就可以。
前些日子中过木马，怀疑还有漏网的，造成我不能登录网上银行。
大家帮帮忙。谢谢。

附件: SREngLOG.txt (2008-7-26 21:36:07, 55.54 K)
该附件被下载次数 146

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; MAXTHON 2.0)

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\system32\drivers\001a8df9.sys
c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys
c:\windows\system32\d32dx9.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[slbiopfs2.dll]    <>
[imgutilhx2.dll]    <>
[adsntzt.dll]    <>
[bootvidgj.dll]    <>
[dispexcb.dll]    <>
[kbdswjr.dll]    <>
[nquxcnga.dll]    <>
[cliconfgzx.dll]    <>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[001a8df9 / 001a8df9]    <\??\C:\WINDOWS\system32\Drivers\001a8df9.sys>
[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>
[npkcrypt / npkcrypt]    <\??\C:\WINDOWS\system32\npkcrypt.sys>
[HiddFldy / HiddFldy]    <\??\C:\WINDOWS\system32\d32dx9.sys>

下载瑞星智能扫描,再在开机时按F8进安全模式,全盘杀毒

看和http://bbs.ikaka.com/showtopic-8527380.aspx 的分析有点相似啊

我试过了，以下项目根本无法用xdelbox删除
（c:\windows\system32\drivers\001a8df9.sys
  c:\windows\system32\npkycryp.sys
  c:\windows\system32\npkcrypt.sys
  c:\windows\system32\d32dx9.sys），
用xdelbox一删就有错误提示，我手动去查找时，发现它们全是.bak的文件夹（如：001adf9.sys.bak），我手动把它们删除了，然后用sreng软件进行了后面的操作。也对临时文件进行了清理，但现在还有问题。
附上新扫的日志，麻烦大家再看看。
谢谢。

附件: SREngLOG2.txt (2008-7-27 18:14:57, 46.18 K)
该附件被下载次数 146

注册表好像有问题
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <cliconfgzx.dll><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\aetsprov]
    <N/A><C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\aetsprov.dll>  [File is missing]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [File is missing]
文件也有问题
[001a8df9 / 001a8df9][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\Drivers\001a8df9.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
还有好像被劫持了
127.0.0.1 c0mo.com
127.0.0.1 gxgxy.net
127.0.0.1 444.gmwo07.com
127.0.0.1 333.gmwo07.com
127.0.0.1 222.gmwo07.com
127.0.0.1 111.gmwo07.com
127.0.0.1 haha.yaoyao09.com
127.0.0.1 www.noseqing.cn
127.0.0.1 fg.pvs360.com
127.0.0.1 cw.pvs360.com
127.0.0.1 ta.pvs360.com
127.0.0.1 dl.pvs360.com
127.0.0.1 ok.sl8cjs.cn
127.0.0.1 nc.mskess.com
127.0.0.1 idc.windowsupdeta.cn
127.0.0.1 pvs360.com
127.0.0.1 sl8cjs.cn
127.0.0.1 windowsupdeta.cn
127.0.0.1 up.22x44.com
127.0.0.1 my.531jx.cn
127.0.0.1 nx.51ylb.cn
127.0.0.1 llboss.com
127.0.0.1 down.malasc.cn
127.0.0.1 d2.llsging.com
127.0.0.1 171817.171817.com
127.0.0.1 wg.47255.com
127.0.0.1 www.tomwg.com
127.0.0.1 tp.shpzhan.cn
127.0.0.1 1.joppnqq.com
127.0.0.1 xx.exiao01.com
127.0.0.1 www.22aaa.com
127.0.0.1 ilove.com
127.0.0.1 xxx.mmma.biz
127.0.0.1 www.868wg.com
127.0.0.1 2.joppnqq.com
127.0.0.1 1.jopanqc.com
127.0.0.1 yu.8s7.net
127.0.0.1 1.jopmmqq.com
127.0.0.1 cao.kv8.info
127.0.0.1 xtx.kv8.info
127.0.0.1 new.749571.com
127.0.0.1 xxx.vh7.biz
127.0.0.1 1.jopenkk.com
127.0.0.1 d.93se.com
127.0.0.1 3.joppnqq.com
127.0.0.1 xxx.j41m.com
127.0.0.1 1.jopenqc.com
127.0.0.1 xxx.m111.biz
127.0.0.1 down.18dd.net
127.0.0.1 www.333292.com
127.0.0.1 qqq.hao1658.com
127.0.0.1 qqq.dzydhx.com
127.0.0.1 www.exiao01.com
127.0.0.1 www.cike007.cn

删除启动项
  <cliconfgzx.dll><>  [N/A]
删除驱动及对应文件
[001a8df9 / 001a8df9][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\Drivers\001a8df9.sys><N/A>
[HiddFldy / HiddFldy][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\d32dx9.sys><N/A>

Hosts正常
是反黑的

我简直没办法了。
我用sreng一删驱动，删除操作就自动被终止。
同时在c盘根目录下生成一个压缩文件dos.gz和一个egomooigl.sys，一个grldr，如果你要用xdelbox强删这三个文件，不仅不能删除，又在c盘根目录下生成egomouve.sys，safe1.sys。（直接手动那三个文件可以直接删除，而不生成后面的两个文件）。（有兴趣的可以从附件下来看下，解压密码是wulei1989)
我决定把盘格了，重做系统了
这也太强了……

晕，没有传上附件…… 没法了

如果反病毒问题还不能解决，请尝试：

下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
或
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe