状况跟发帖的那些差不多。。。QQ出现中奖系统消息。。。
查出病毒杀不掉。。。删不掉。。。
大量数字进程。。。
恢复完系统装回QQ又出现。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

1建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备）
C:\WINDOWS\system32\aeoeohol.dll
C:\WINDOWS\system32\cmbfjcda.dll
C:\WINDOWS\system32\fchkohcc.dll
C:\WINDOWS\system32\edmhjhni.dll
C:\WINDOWS\system32\pgfmimgd.dll
C:\WINDOWS\system32\ocgfeceb.dll
C:\WINDOWS\system32\ihbclhlj.dll
C:\WINDOWS\system32\momelmon.dll
C:\WINDOWS\system32\ncofodmn.dll
C:\WINDOWS\system32\bgmmloob.dll
C:\WINDOWS\system32\goelnlgg.dll
C:\WINDOWS\system32\gmcdlabe.dll
C:\WINDOWS\system32\npebkgbo.dll
C:\Program Files\Internet Explorer\PowerNt.Onz
2重启后用sreng删除下列注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <AE8E8185><C:\WINDOWS\system32\aeoeohol.dll>  []
    <C6BF3CDA><C:\WINDOWS\system32\cmbfjcda.dll>  []
    <FC1481CC><C:\WINDOWS\system32\fchkohcc.dll>  []
    <ED613172><C:\WINDOWS\system32\edmhjhni.dll>  []
    <90F6260D><C:\WINDOWS\system32\pgfmimgd.dll>  []
    <8C0FECEB><C:\WINDOWS\system32\ocgfeceb.dll>  []
    <21BC5153><C:\WINDOWS\system32\ihbclhlj.dll>  []
    <686E5687><C:\WINDOWS\system32\momelmon.dll>  []
    <7C8F8D67><C:\WINDOWS\system32\ncofodmn.dll>  []
    <B066588B><C:\WINDOWS\system32\bgmmloob.dll>  []
    <08E57500><C:\WINDOWS\system32\goelnlgg.dll>  []
    <06CD5ABE><C:\WINDOWS\system32\gmcdlabe.dll>  []
    <79EB40B8><C:\WINDOWS\system32\npebkgbo.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
 
    <{AE8E8185-436F-419B-8E5B-4A92F79450F4}><C:\WINDOWS\system32\aeoeohol.dll>  []
    <{C6BF3CDA-FD86-4AF4-87C1-ED65B4CD5A6A}><C:\WINDOWS\system32\cmbfjcda.dll>  []
    <{FC1481CC-52CD-48A8-8F96-CC455EF225CB}><C:\WINDOWS\system32\fchkohcc.dll>  []
    <{ED613172-FD86-4D97-995C-C4B52666E8BB}><C:\WINDOWS\system32\edmhjhni.dll>  []
    <{90F6260D-F3FC-4653-BD70-97DB00E8EF94}><C:\WINDOWS\system32\pgfmimgd.dll>  []
    <{8C0FECEB-BE28-41F1-B4FD-1375564425AE}><C:\WINDOWS\system32\ocgfeceb.dll>  []
    <{21BC5153-D5B3-4749-BE64-57EF848C422C}><C:\WINDOWS\system32\ihbclhlj.dll>  []
    <{686E5687-322A-43C2-944D-AB6FF07D3E6A}><C:\WINDOWS\system32\momelmon.dll>  []
    <{7C8F8D67-26BD-40B0-9032-EFEB7BAB4766}><C:\WINDOWS\system32\ncofodmn.dll>  []
    <{B066588B-E55C-4486-8632-B18BA1F9E9BF}><C:\WINDOWS\system32\bgmmloob.dll>  []
    <{08E57500-A39D-40DA-BE41-0CE167C9A2C9}><C:\WINDOWS\system32\goelnlgg.dll>  []
    <{06CD5ABE-1747-4DE3-9087-00F578CF603C}><C:\WINDOWS\system32\gmcdlabe.dll>  []
    <{79EB40B8-7F48-41C9-A874-DD6D2496DCC9}><C:\WINDOWS\system32\npebkgbo.dll>  []
    <{478932A2-862F-4A34-A264-54A6EB998FDE}><C:\Program Files\Internet Explorer\PowerNt.Onz>  []

3用sreng将<AppInit_DLLs>的值清空<>

4
C:\WINDOWS\system32\ctfmon.exe文件被感染
开始——运行——输入dllcache
在里面找到对应的文件将原来的文件替换掉。

5
有被劫持项，下载工具修复
http://bbs.ikaka.com/attachment.aspx?attachmentid=435625下载镜像劫持修复工具

6
清空IE临时文件夹

水平有限，只看出这么多。

这个帖子是杀木马群的，可以参考http://bbs.ikaka.com/showtopic-8592394.aspx

http://bbs.ikaka.com/showtopic-8589597.aspx建议照着操作，完成后重新上传sreng日志

d:\program files\adobe\acrobat 7.0\distillr\usp10.dll
用winrar压缩
发上来

http://bbs.ikaka.com/showtopic-8417665.aspx
2楼里的ctfmon.exe
替换到
C:\WINDOWS\system32\ctfmon.exe

搜索C盘外的usp10.dll
全部删除


1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\docume~1\monkey\locals~1\temp\57449394
c:\docume~1\monkey\locals~1\temp\57404204
c:\docume~1\monkey\locals~1\temp\57282239
c:\windows\system32\anymie360.dll
c:\windows\system32\aeoeohol.dll
c:\windows\system32\bgmmloob.dll
c:\windows\system32\cmbfjcda.dll
c:\windows\system32\edmhjhni.dll
c:\windows\system32\fchkohcc.dll
c:\windows\system32\gmcdlabe.dll
c:\windows\system32\goelnlgg.dll
c:\windows\system32\ihbclhlj.dll
c:\windows\system32\momelmon.dll
c:\windows\system32\npebkgbo.dll
c:\windows\system32\ocgfeceb.dll
c:\windows\system32\pgfmimgd.dll
c:\docume~1\monkey\locals~1\temp\wowinitcode.dat
c:\program files\internet explorer\powernt.onz
c:\windows\system32\ncofodmn.dll
c:\windows\fonts\ctmres.dll
c:\windows\fonts\comres.dll
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\8c27995c.dat


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[79EB40B8]    <C:\WINDOWS\system32\npebkgbo.dll>
[06CD5ABE]    <C:\WINDOWS\system32\gmcdlabe.dll>
[08E57500]    <C:\WINDOWS\system32\goelnlgg.dll>
[B066588B]    <C:\WINDOWS\system32\bgmmloob.dll>
[686E5687]    <C:\WINDOWS\system32\momelmon.dll>
[7C8F8D67]    <C:\WINDOWS\system32\ncofodmn.dll>
[21BC5153]    <C:\WINDOWS\system32\ihbclhlj.dll>
[8C0FECEB]    <C:\WINDOWS\system32\ocgfeceb.dll>
[90F6260D]    <C:\WINDOWS\system32\pgfmimgd.dll>
[ED613172]    <C:\WINDOWS\system32\edmhjhni.dll>
[FC1481CC]    <C:\WINDOWS\system32\fchkohcc.dll>
[C6BF3CDA]    <C:\WINDOWS\system32\cmbfjcda.dll>
[AE8E8185]    <C:\WINDOWS\system32\aeoeohol.dll>
[{478932A2-862F-4A34-A264-54A6EB998FDE}]    <C:\Program Files\Internet Explorer\PowerNt.Onz>
[{79EB40B8-7F48-41C9-A874-DD6D2496DCC9}]    <C:\WINDOWS\system32\npebkgbo.dll>
[{06CD5ABE-1747-4DE3-9087-00F578CF603C}]    <C:\WINDOWS\system32\gmcdlabe.dll>
[{08E57500-A39D-40DA-BE41-0CE167C9A2C9}]    <C:\WINDOWS\system32\goelnlgg.dll>
[{B066588B-E55C-4486-8632-B18BA1F9E9BF}]    <C:\WINDOWS\system32\bgmmloob.dll>
[{7C8F8D67-26BD-40B0-9032-EFEB7BAB4766}]    <C:\WINDOWS\system32\ncofodmn.dll>
[{686E5687-322A-43C2-944D-AB6FF07D3E6A}]    <C:\WINDOWS\system32\momelmon.dll>
[{21BC5153-D5B3-4749-BE64-57EF848C422C}]    <C:\WINDOWS\system32\ihbclhlj.dll>
[{21BC5153-D5B3-4749-BE64-57EF848C422C}]    <C:\WINDOWS\system32\ihbclhlj.dll>
[{8C0FECEB-BE28-41F1-B4FD-1375564425AE}]    <C:\WINDOWS\system32\ocgfeceb.dll>
[{90F6260D-F3FC-4653-BD70-97DB00E8EF94}]    <C:\WINDOWS\system32\pgfmimgd.dll>
[{ED613172-FD86-4D97-995C-C4B52666E8BB}]    <C:\WINDOWS\system32\edmhjhni.dll>
[{FC1481CC-52CD-48A8-8F96-CC455EF225CB}]    <C:\WINDOWS\system32\fchkohcc.dll>
[{C6BF3CDA-FD86-4AF4-87C1-ED65B4CD5A6A}]    <C:\WINDOWS\system32\cmbfjcda.dll>
[{AE8E8185-436F-419B-8E5B-4A92F79450F4}]    <C:\WINDOWS\system32\aeoeohol.dll>
注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\fonts\CtmRes.dll C:\WINDOWS\fonts\ComRes.dll aeoeohol.dll,cmbfjcda.dll,fchkohcc.dll,edmhjhni.dll,pgfmimgd.dll,ocgfeceb.dll,ihbclhlj.dll,momelmon.dll,ncofodmn.dll,bgmmloob.dll,goelnlgg.dll,gmcdlabe.dll,npebkgbo.dll>修改为<>即清空
[IFEO[CCenter.exe]]    <svchost.exe>
[IFEO[RavTask.exe]]    <svchost.exe>
[IFEO[RsTray.exe]]    <svchost.exe>
[IFEO[Thunder5.exe]]    <svchost.exe>
启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务）

 
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[Safe Mon 360 / SafeMon0]    <\??\C:\WINDOWS\system32\8C27995C.dat>
[io / io]    <>
[io / io]    <>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\PowerNt.Onz>

清理助手下载
安装后，升级清理助手，全盘扫描
清理系统

查出C:\WINDOWS\system32和D:\Program Files\Adobe\Acrobat 7.0\Distillr有USP10.dll....但是都删不掉。。。

system32里的和dllcache里的是正常文件

别的
请用XDelbox重启删除病毒文件后删除

不小心把C盘的USP10.DLL也删了,然后一直重启进不了WINDOS,只好又恢复了一遍...
恢复完之后用usp10和psapi文件简易清理器查了一遍,然后升级瑞星和WINDOS清理助手,再查杀...
这是新的日志,请帮忙看下还有没有问题...

日志很正常

清理助手下载
安装后，升级清理助手，全盘扫描
清理系统