请教各位专家，我的系统是winxp，現在我进入桌面需要很长时间，终于进去了，但是桌面文件无法移动，各种文件可以复制，但是点鼠标右键，无法粘贴，粘贴鍵为灰色。已经用瑞星杀过了，8個毒，用江民殺出46個，用360修補了14個漏洞，最後用avast又殺出14個毒，但是重啟系統后還是有毒，殺不乾淨···學習了論壇上的文章后用windows清理助手2.8.1.8.1014又殺出12個，基本都是trojan，但是重啟了還是有。學習了[原创] 常用、易用工具的使用[附SREng工具的AppInit_DLLs和入口点错误提示] 用sreng看了系統也修復了但还hosts不能保存，沒有足夠權限，winsock無法重置，還是不行。另外我的注冊表裡面內容非常少，只有基本的幾個。我覺得是被隱藏了。求助各位，幫我解決問題啊···不勝感激！謝謝！

附掃描的.log文件,大家幫我分析分析我該怎么辦,謝謝~~

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; QQDownload 1.7; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)

1.看了你的日志，未发现可疑文件
2.你可以找到和你系的统信息一样的机器上导出他的winsock注册表键值，在你的机器上运行。

请将杀毒后的病毒名和病毒路径截图。

日志异常内容如下：
==================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)]
==================================
服务
[DCOM Server Process Launcher / DcomLaunch][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll><N/A>
[Transaction Provisioning Service / DNSTransaction][Stopped/Disabled]
  <><(File is missing)>
[wrsky / foxwei][Stopped/Disabled]
  <><(File is missing)>
[Help and Support / helpsvc][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
[Human Interface Device Access / HidServ][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[KVSrvXP / KVSrvXP][Stopped/Disabled]
  <"C:\Program Files\JiangMin\AntiVirus\KVSrvXP.exe" /Service><(File is missing)>
==================================
驱动程序
[ejdt / ejdta][Running/Boot Start]
  <\SystemRoot\system32\drivers\ejdta.syssv]><N/A>
==================================
正在运行的进程
C:\Program Files\Imagine\Imagine.DLL
C:\Program Files\Imagine\Plugin\J2K.DLL]
C:\Program Files\Imagine\Plugin\JBIG.DLL
==================================
所发现的诸多问题：
1、部分系统文件可能被病毒感染或覆盖，导致扫描日志中以下文件的注册表启动项发生异常（厂商签名版本信息找不到）：
c:\windows\explorer.exe
c:\windows\system32\userinit.exe
c:\windows\system32\logonui.exe

2、凡是与c:\windows\system32\svchost.exe有关的宿主服务均发生异常（厂商签名版本信息找不到），不排除c:\windows\system32\svchost.exe这个宿主程序及服务对应的DLL文件被病毒感染或覆盖的可能，因此，以下文件都值得怀疑，建议分别发到http://www.virscan.org鉴定一下：
c:\windows\system32\svchost.exe
c:\windows\system32\rpcss.dll
c\windows\PCHealth\HelpCtr\Binaries\pchsvc.dll

3、安装过多个杀软。发现的有AVAST、麦咖啡、江民，其中麦咖啡、江民应该已被卸载，但其服务或驱动程序有残留。

4、一个隐藏映像文件路径的驱动程序（如下），请下载并运行冰刃，切换到“注册表”选项卡，定位到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ejdta\Parameters]<ServiceDll>这个注册表值项，将这个值项的数值数据对应的映像文件找到，用WINRAR压缩后，上传压缩包：
[ejdt / ejdta][Running/Boot Start]
  <\SystemRoot\system32\drivers\ejdta.syssv]><N/A>

5、一些dll文件不知道是否安全（正在运行的程序）；

6、没有找到问题的根源前，请不要擅自对注册表项和文件进行修改或删除操作，以防不测。

謝謝你···我現在的系統無法複製粘貼，rpc服務沒有啟動，也啟動不了···在sreng裡面設置為自動啟動但是重啟后又被改成disable····鬱悶啊····也無法截圖···而且原來的殺毒軟件已經卸載了，殺的什麽毒暫時無法得知，沒辦法了，
我現在只能把硬盤拆下，然後在其他電腦上檢查
c:\windows\system32\svchost.exe
c:\windows\system32\rpcss.dll
c\windows\PCHealth\HelpCtr\Binaries\pchsvc.dll
這3個文件了

驱动程序
[ejdt / ejdta][Running/Boot Start]  <\SystemRoot\system32\drivers\ejdta.syssv]><N/A>
刪除不了···

注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]    <shell><Explorer.exe>  [(Verified)]    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]    <UIHost><logonui.exe>  [(Verified)]
這幾個在那裡可以看到和修改啊··？

部分系统文件可能被病毒感染或覆盖，导致扫描日志中以下文件的注册表启动项发生异常（厂商签名版本信息找不到）：
c:\windows\explorer.exe
c:\windows\system32\userinit.exe
c:\windows\system32\logonui.exe
怎樣恢復正常？
謝謝各位指點了啊···

一个隐藏映像文件路径的驱动程序（如下），请下载并运行冰刃，切换到“注册表”选项卡，定位到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ejdta\Parameters]<ServiceDll>这个注册表值项，将这个值项的数值数据对应的映像文件找到，用WINRAR压缩后，上传压缩包：
[ejdt / ejdta][Running/Boot Start]
  <\SystemRoot\system32\drivers\ejdta.syssv]><N/A>

這個位置小弟有些不太明白請大大指點！！



服务
[DCOM Server Process Launcher / DcomLaunch][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll><N/A>
[Transaction Provisioning Service / DNSTransaction][Stopped/Disabled]
  <><(File is missing)>
[wrsky / foxwei][Stopped/Disabled]
  <><(File is missing)>
[Help and Support / helpsvc][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
[Human Interface Device Access / HidServ][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[KVSrvXP / KVSrvXP][Stopped/Disabled]
  <"C:\Program Files\JiangMin\AntiVirus\KVSrvXP.exe" /Service><(File is missing)>
這些異常的服務如何恢復？

个人分析最大的可能性还是c:\windows\system32\rpcss.dll被病毒感染或覆盖，请找一台相同操作系统版本的机（SP补丁也要相同），拷贝c:\windows\system32\rpcss.dll到U盘，用这个拷贝的问题替换你机同路径下的同名文件，然后再启动相关服务看看。