呵呵，谢谢学长一片苦心，这是一个很好的锻炼机会
第一篇日志：
1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)

c:\windows\system32\tdfhex.dll
c:\windows\system32\120133.dat
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\plugins\winnt64.sys
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
<{021F087F-4378-545F-74FA-37D345AD7A8C}>    <C:\WINDOWS\system32\mttwfh.dll> 
<{C0595A7E-2E2F-4B34-A83A-019270A0A464}>    <C:\WINDOWS\system32\tdffdl.dll> 
<{841529CB-7F77-4B99-A895-B5441E0D302F}>    <C:\WINDOWS\system32\jfrwdh.dll> 
<{0B846B26-BFE6-4E8E-A948-1DB17B77B483}>    <C:\WINDOWS\system32\tdfhex.dll> 


    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[48c2 / 48c2][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\48c2.sys><N/A>
[b3c2F / b3c2F][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\b3c2F.sys><N/A>


    启动项目 －－ 浏览器加载项之如下项删除：
[]
  {0CD9CB21-F56C-4AE1-B188-39F1E8D692AB} <C:\Program Files\Internet Explorer\ExploreNt.Sys, N/A>
[]
  {53AC264F-6DD8-41D9-921F-01FAAEA95C8B} <C:\Program Files\Internet Explorer\ExploreNt.Dat, N/A>
[]
  {86899D14-95D7-4E22-8AB3-7ACC53076FC9} <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys, N/A>
[]
  {D51510C1-ECEA-45F7-B782-FE0EC2D2535D} <C:\Program Files\Internet Explorer\ExploreNt.win, N/A>

第二篇日志：
1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)

c:\windows\system32\kncer32.exe
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\drivers\msiffei.sys
c:\C:\Documents and Settings\Administrator\Local Settings\temp\1.tmp
c:\windows\system32\zofaianu.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\msacm32.drv
c:\windows\system32\mfc40loc.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[kcien32]    <kncer32.exe>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>

把<AppInit_DLLs><offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>  [N/A] 修改改成<AppInit_DLLs><kmon.dll>，不能删除该项。

再用SREng修复一下映像劫持项

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>

想说的，上面的都说了，还是说下，用冰刃把下面的
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
删去，太多不知名的浏览器加载，建议用window清理助手

第一篇日志 20080811_1.log
参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\explorent.win
c:\program files\internet explorer\plugins\winnt64.sys
c:\windows\system32\120133.dat
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\120196.dat
c:\windows\system32\rmjgvdmm.dll
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys
———————————————————————————————————————
从下面项可看出这些文件可能已经不是系统本身的了：
<UIHost><logonui.exe>  [(Verified)]
可以考虑从dllcache中或到其他机器的相同系统中找到该文件进行替换；
———————————————————————————————————————
可疑注册表启动项：
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
———————————————————————————————————————
可疑驱动项：
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>
———————————————————————————————————————
可疑浏览器加载项：
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>

第二篇日志 20080811_2.log
参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\mfc40loc.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\drivers\msiffei.sys
c:\docume~1\admini~1\locals~1\temp\1.tmp
offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll
kncer32.exe
红色的这些文件都不带路径，如果借助xdelbox之类的工具删除的话要注意一下哦
———————————————————————————————————————
可疑注册表启动项：
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
[kcien32]    <kncer32.exe>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[imgutilhx2.dll]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[IFEO[360safebox.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[ati2evxx.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[egui.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[esafe.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[idag.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[kaccore.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[kissvc.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[KPPMain.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[KVFW.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[OllyDBG.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[OllyICE.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[procexp.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[qqsc.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[ravtool.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[regtool.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[rfwproxy.exeFYFireWall.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[rfwstub.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[safebank.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[safeboxtray.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[WinDbg.exe]]    <C:\WINDOWS\system32\svchost.exe>
[{00300030-0030-0030-0030-00300030BB15}]    <C:\WINDOWS\system32\imgutilhx2.dll>
———————————————————————————————————————
需要修复的启动项：
[AppInit_DLLs]：
把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>
修改为<kmon.dll>
———————————————————————————————————————
可疑服务项：
[Remote Procedure Call (RPC) / RpcSs]    <C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\srpcss.dll>
需要注意的是这个服务项不是要删除的，而是要修复
可以直接到注册表如下位置：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
将<ServiceDll>的值改为%SystemRoot%\system32\rpcss.dll
———————————————————————————————————————
可疑驱动项：
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>
———————————————————————————————————————

第三篇日志 20080811_3.log
参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\mghefy.dll
c:\windows\system32\ydggsx.dll
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\hbkernel.sys
———————————————————————————————————————
可疑注册表启动项：
[{000030AE-0380-4351-8244-EE98A3240370}]    <C:\WINDOWS\system32\mghefy.dll>
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]    <C:\WINDOWS\system32\ydggsx.dll>
———————————————————————————————————————
可疑驱动项：
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
———————————————————————————————————————

来晚了。。。
待删文件列表
c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\explorent.win
c:\program files\internet explorer\plugins\winnt64.sys
c:\windows\system32\120133.dat
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\120196.dat
c:\windows\system32\rmjgvdmm.dll
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys

SRENG -启动项目-注册表，删除
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>

  SRENG-启动项目-服务-驱动程序，删除
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

系统修复-浏览器加载项，删除
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>

===================================================================================================================
02
待删文件列表
c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\mfc40loc.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\zofaianu.dll
c:\windows\system32\offscrl.dll
c:\windows\system32\squalle.dll
c:\windows\system32\ckicps.dll
c:\windows\system32\cmonos.dll
c:\windows\system32\lenowos.dll
c:\windows\system32\therbrek.dll
c:\windows\system32\pciboxl.dll
c:\windows\system32\wdhotem.dll
c:\windows\system32\aliens.dll
c:\windows\system32\esceps.dll
c:\windows\system32\mssetd.dll
c:\windows\system32\nvidons.dll
c:\windows\system32\tesxdx.dll
c:\windows\system32\rmbsony.dll
c:\windows\system32\jolinos.dll
c:\windows\system32\dearnts.dll
c:\windows\system32\joause.dll
c:\windows\system32\fackwir.dll
c:\windows\system32\kncer32.exe
c:\windows\\offscrl.dll
c:\windows\squalle.dll
c:\windows\ckicps.dll
c:\windows\cmonos.dll
c:\windows\lenowos.dll
c:\windows\therbrek.dll
c:\windows\pciboxl.dll
c:\windows\wdhotem.dll
c:\windows\aliens.dll
c:\windows\esceps.dll
c:\windows\mssetd.dll
c:\windows\nvidons.dll
c:\windows\tesxdx.dll
c:\windows\rmbsony.dll
c:\windows\jolinos.dll
c:\windows\dearnts.dll
c:\windows\joause.dll
c:\windows\fackwir.dll
c:\windows\kncer32.exe
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\1.tmp
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\drivers\sr.sys

SRENG-启动项目-注册表，删除
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
双击修改[AppInit_DLLs]项把<offscrl.dll。。。。。。 fackwir.dll,kmon.dll>修改为<kmon.dll>即可
[kcien32]    <kncer32.exe>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[{00300030-0030-0030-0030-00300030BB15}]    <C:\WINDOWS\system32\imgutilhx2.dll>
删除所有IFEO劫持项目


启动项目-服务-驱动，禁用
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[System Restore Filter Driver / sr]    <\SystemRoot\system32\DRIVERS\sr.sys>
系统修复-浏览器加载项，空项都删除

使用WINDOWS清理助手
修复RPC服务
或者手动在注册表搜索
srpcss.dll，都修改为rpcss.dll
删除c:\windows\system32\srpcss.dll
===============================
03
待删文件列表
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\hbkernel.sys
***UNLOCKER解锁,删除HBKernel.sys

SRENG-启动项目-注册表，删除
[{000030AE-0380-4351-8244-EE98A3240370}]    <C:\WINDOWS\system32\mghefy.dll>
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]    <C:\WINDOWS\system32\ydggsx.dll>
启动项目-服务-驱动，删除
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys

注册表编辑器，搜索HBKernel.sys，删除搜到的项目

最后用清理助手 打扫残余

分析助手还是不熟练。。第一篇
1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\explorent.win
explorer\plugins\winnt64.sys
c:\program files\winrar\rarext.dll
c:\windows\system32\120133.dat
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\120196.dat
c:\windows\system32\rmjgvdmm.dll
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>

[

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\mfc40loc.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\program files\winrar\rarext.dll
offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll
kncer32.exe

c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\svchost.exe
c:\windows\system32\aurora.scr
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\drivers\mouhid.sys
c:\windows\system32\drivers\hookreg.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
注意该项[AppInit_DLLs]修改：把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>修改为<>即清空
[kcien32]    <kncer32.exe>
[load]    <>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[IFEO[360safebox.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[ati2evxx.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[egui.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[esafe.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[idag.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[kaccore.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[kissvc.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[KPPMain.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[KVFW.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[OllyDBG.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[OllyICE.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[procexp.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[qqsc.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[ravtool.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[regtool.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[rfwproxy.exeFYFireWall.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[rfwstub.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[safebank.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[WinDbg.exe]]    <C:\WINDOWS\system32\svchost.exe>
[SCRNSAVE.EXE]    <C:\WINDOWS\system32\Aurora.scr>
[{00300030-0030-0030-0030-00300030BB15}]    <C:\WINDOWS\system32\imgutilhx2.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[Mouse HID Driver / MouHid]    <system32\drivers\MouHid.sys>
[HookReg / HookReg]    <\SystemRoot\system32\drivers\HookReg.sys>

[

第三篇
b]1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\mghefy.dll
c:\windows\system32\ydggsx.dll
c:\docume~1\admini~1\locals~1\temp\_tmp.bat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{000030AE-0380-4351-8244-EE98A3240370}]    <C:\WINDOWS\system32\mghefy.dll>
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]    <C:\WINDOWS\system32\ydggsx.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>