魔法学徒学长，谢谢。RpcSs的服务的确是应该删除的。

第二个日志中，我因为没看到嗅探器存在。同时看到过一篇文章，ARP病毒会通过自行安装或覆盖原有的npf.sys。所以才判断他应该被删除的。

第三个日志处理结果：

用xdelbox重启后删除下面文件
C:\WINDOWS\system32\mghefy.dll
C:\WINDOWS\system32\ydggsx.dll
c:windows\system32\DRIVERS\HBKernel.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat

修复注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
中的

<{000030AE-0380-4351-8244-EE98A3240370}><C:\WINDOWS\system32\mghefy.dll>  [File is missing]
    <{0086DD39-EB8E-4504-A085-AC8A433E34D0}><C:\WINDOWS\system32\ydggsx.dll>  [File is missing]

用Sreng删除下面的服务
HBKernel Driver / HBKernel][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel.sys><N/A>


[wxuro / wxuro][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat><N/A>

第一篇日志方法:
使用XDelBox删除以下文件
c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\windows\system32\120133.dat
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tdfhex.dll
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\plugins\winnt64.sys
c:\program files\internet explorer\explorent.win
c:\windows\system32\120196.dat
c:\windows\system32\rmjgvdmm.dll
启动项目 －－ 注册表之如下项删除：
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
卡卡助手修复或重装



第二篇日志:
从一样的正常系统中提取C:\WINDOWS\system32\rpcss.dll拷到本系统C:\WINDOWS\system32\下
使用XDelBox删除以下文件
c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\msacm32.drv
c:\windows\system32\mfc40loc.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\srpcss.dll
c:\docume~1\admini~1\locals~1\temp\1.tmp

    启动项目 －－ 注册表之如下项删除：
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
[kcien32]    <kncer32.exe>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[imgutilhx2.dll]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
注意该项[AppInit_DLLs]修改：把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<kmon.dll>
所有劫持项用SRENG修复..

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>




第三篇日志:
使用XDelBox删除以下文件
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\hbkernel.sys
启动项目 －－ 注册表之如下项删除：
[{000030AE-0380-4351-8244-EE98A3240370}]    <C:\WINDOWS\system32\mghefy.dll>
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]    <C:\WINDOWS\system32\ydggsx.dll>

启动项目 －－ 服务－－ 驱动程序之如下项删除：
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>

第一篇：
1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
启动项：
C:\WINDOWS\system32\offscrlk.exe
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\tdffdl.dll
驱动程序：
C:\WINDOWS\system32\48c2.sys
C:\WINDOWS\system32\b3c2F.sys

浏览器加载项：
C:\Program Files\Internet Explorer\ExploreNt.win
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat
2.删除重启后使用SREng修复下面各项：
注册表：
    <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  []

浏览器加载项：
[]
  {86899D14-95D7-4E22-8AB3-7ACC53076FC9} <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys, N/A>
[]
  {D51510C1-ECEA-45F7-B782-FE0EC2D2535D} <C:\Program Files\Internet Explorer\ExploreNt.win, N/A>
[]
  {0CD9CB21-F56C-4AE1-B188-39F1E8D692AB} <C:\Program Files\Internet Explorer\ExploreNt.Sys, N/A>
[]
  {53AC264F-6DD8-41D9-921F-01FAAEA95C8B} <C:\Program Files\Internet Explorer\ExploreNt.Dat, N/A>

第一个日志的处理:
1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\windows\system32\120133.dat
c:\windows\system32\120196.dat
c:\windows\system32\tdfhex.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys
c:\program files\internet explorer\explorent.win
%systemroot%\system32\shdocvw.dll
c:\program files\internet explorer\plugins\winnt64.sys
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[SearchAssistantOC]    <%SystemRoot%\system32\shdocvw.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>

**************以上分析报告由SREngLog分析助手提供******************
分析：草莽书生
时间：2008-8-12
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)


自动清理方案操作步骤：

1。下载通用病毒杀灭机正式版(点击下载)，请先参考软件帮助说明。

2。复制符号区域的修复指令或者下载附件中的修复指令文件*.dat 。

  ========指令正文，复制以下内容========

[复制到剪贴板]

CODE:

复制指令区

========指令结束，复制以上内容========

3。打开通用病毒杀灭机（打不开的建议改名，如abc.exe，abc.bat等），复制修复指令者使用剪贴板导入；下载修复指令文件的使用文件导入
    重启即可删除病毒，并帮助你删除自启动项和禁用服务。

（注：第一次重启有时候会弹出文件夹，那是由于自启动项目还没有删除，而文件已经被XDELBOX删除并用文件夹替代的结果）

第二个日志的处理:

1.建议使用XDelBox删除以下文件
c:\windows\system32\zofaianu.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll
kncer32.exe
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\ctfmon.exe
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\aurora.scr
c:\windows\system32\svchost.exe -k netsvcs-->%windir%\pchealth\helpctr\binaries\pchsvc.dll
c:\windows\system32\svchost.exe -k netsvcs-->%systemroot%\system32\hidserv.dll
c:\windows\system32\svchost.exe -k netsvcs-->c:\windows\system32\srsvc.dll
c:\windows\system32\svchost -k rpcss-->c:\windows\system32\srpcss.dll
c:\windows\system32\drivers\sr.sys
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\drivers\mouhid.sys
c:\docume~1\admini~1\locals~1\temp\1.tmp
c:\windows\system32\drivers\hidusb.sys
http://www.ylmf.com

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
注意该项[AppInit_DLLs]修改：把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
[kcien32]    <kncer32.exe>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[ctfmon.exe]    <C:\WINDOWS\system32\ctfmon.exe>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[SCRNSAVE.EXE]    <C:\WINDOWS\system32\Aurora.scr>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Help and Support / helpsvc]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll>
[Human Interface Device Access / HidServ]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll>
[System Restore Service / srservice]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll>
[Remote Procedure Call (RPC) / RpcSs]    <C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\srpcss.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[System Restore Filter Driver / sr]    <\SystemRoot\system32\DRIVERS\sr.sys>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[Mouse HID Driver / MouHid]    <system32\drivers\MouHid.sys>
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>
[Microsoft HID Class Driver / HidUsb]    <system32\drivers\HidUsb.sys>

    系统修复－－　浏览器加载项之如下项删除：
[YlmF]    <http://www.ylmf.com>

[

第三个日志的处理:

1.建议使用XDelBox删除以下文件
c:\windows\system32\ravext.dll
c:\windows\system32\mghefy.dll
c:\windows\system32\ydggsx.dll
%systemroot%\system32\shmgrate.exe ocinstalluserconfigie
%systemroot%\system32\shmgrate.exe ocinstalluserconfigoe
%systemroot%\system32\regsvr32.exe /s /n /i:/userinstall %systemroot%\system32\themeui.dll
c:\windows\system32\svchost.exe -k netsvcs-->%systemroot%\system32\hidserv.dll
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\secdrv.sys
c:\windows\system32\drivers\hbkernel.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{32CD708B-60A7-4C00-9377-D73EAA495F0F}]    <C:\WINDOWS\system32\RavExt.dll>
[{000030AE-0380-4351-8244-EE98A3240370}]    <C:\WINDOWS\system32\mghefy.dll>
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]    <C:\WINDOWS\system32\ydggsx.dll>
[Internet Explorer]    <%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>
[Outlook Express]    <%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>
[Themes Setup]    <%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Human Interface Device Access / HidServ]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[Secdrv / Secdrv]    <system32\DRIVERS\secdrv.sys>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>

第一个

建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\explorent.win
c:\windows\system32\120133.dat
c:\program files\internet explorer\plugins\winnt64.sys
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\壁纸自动换.exe
nwiz.exe /install
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys
c:\windows\system32\b3c2f.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[switch]    <c:\windows\system32\壁纸自动换.exe>
[nwiz]    <nwiz.exe /install>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>

第二个

c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\mfc40loc.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\program files\winrar\rarext.dll
; nwiz.exe /install
offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll
kncer32.exe
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\svchost.exe -k netsvcs-->%windir%\pchealth\helpctr\binaries\pchsvc.dll
c:\windows\system32\svchost.exe -k netsvcs-->%systemroot%\system32\hidserv.dll
c:\windows\system32\svchost.exe -k netsvcs-->c:\windows\system32\srsvc.dll
c:\windows\system32\svchost -k rpcss-->c:\windows\system32\srpcss.dll
c:\docume~1\admini~1\locals~1\temp\1.tmp
http://www.ylmf.com
d:\program files\thunder network\thunder\components\inmedia\peerid.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[nwiz]    <; nwiz.exe /install>
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
注意该项[AppInit_DLLs]修改：把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
[kcien32]    <kncer32.exe>
[load]    <>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
注意该项[AppInit_DLLs]修改：把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
注意该项[AppInit_DLLs]修改：把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
[kcien32]    <kncer32.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Help and Support / helpsvc]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll>
[Human Interface Device Access / HidServ]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll>
[System Restore Service / srservice]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll>
[Remote Procedure Call (RPC) / RpcSs]    <C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\srpcss.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>

    系统修复－－　浏览器加载项之如下项删除：
[YlmF]    <http://www.ylmf.com>
[GerneralPeerID Class]    <d:\Program Files\Thunder Network\Thunder\Components\InMedia\peerid.dll>

xdelbox里一般要写完整路径，不知道路径的情况下可以写c:/windows/文件和c:/windows/system32/文件,另外你误删掉好多良民