大家好~我的电脑不知中了什么病毒(杀毒软件查不出的) .请大家帮我看看..状况如下:

    没办法关机.注销.没办法进入安全模式 双击没办法打开C盘和想打开任何软件的时候,我在任务管理器查看了一下,,就会运行一个图标写 (龍) 字的 英文叫Microsoft Corporation  的东西在,启动项里面是:Torjan Program  C:windows/csrss.exe.(详图在3楼)            (而且CPU达到100% 只要关了它就不会).

在帮我看看这些进程里面有什么不对路的

在启动项里面关了这个 (龙)  ..重启又会自动开了~~~~

怎么没人帮忙啊

不太好理解，用hijackthis扫描个日志上来吧

hijackthis ??

英文原版下载地址:
http://forum.ikaka.com/download.asp?id=5188960
关于HijackThis的介绍和使用方法，请参考“瑞星网站HijackThis专题”
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm

难道是中了传说中的“BT传奇木马”

中了c\windows\csrss.exe还是建议重装系统吧，若要手动清除实在是麻烦，不信看下面，我只是说了直接清除方法，没有列出病毒修改的具体数值，因为实在太多了

暂时看看先到安全模式下把病毒的生成的注册表键值删出，修改的注册表改回来，然后重新启动计算机删除病毒文件。



病毒会在系统分区根目录下生成如下文件，其他分区中可能也会同时生成：
autorun.inf（达到双击分区“自动运行”病毒的目的）

病毒生成如下文件：
%windir%\1.com
%windir%\CSRSS.exe
%windir%\ExERoute.exe
%windir%\explorer1.com
%windir%\finder.com
%windir%\MSWINSCK.OCX
%windir%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\finder.com
%system%\MSCONFIG.com
%system%\regedit.com
%system%\rundll32.com
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\iexplore.com

病毒增加了太多注册表键值，超过100个，呵呵真麻烦，我不一一列举了，直接告诉你删除哪些主键：
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\winfiles
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSWinsock.Winsock
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
单独删除以下键：
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="D:\CSRSS.exe"(注意这里是D盘)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="C:\Program Files\common~1\iexplore.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run >> "Trojan Program"="C:\windows\CSRSS.exe"
HKEY_USERS\S-1-5-21-2052111302-764733703-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="D:\CSRSS.exe"(注意这里是D盘)
HKEY_USERS\S-1-5-21-2052111302-764733703-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="C:\Program Files\common~1\iexplore.pif"


恢复以下病毒修改的注册表：
恢复HKEY_CLASSES_ROOT\.bfc\ShellNew >> Command的值为%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1
恢复HKEY_CLASSES_ROOT\.exe >> （默认）的值为exefile
恢复HKEY_CLASSES_ROOT\.lnk\ShellNew >> Command的值为rundll32.exe appwiz.cpl,NewLinkHere %1
恢复HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe"
恢复HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command >> （默认）的值为rundll32.exe shell32.dll,Control_RunDLL "%1",%*
恢复HKEY_CLASSES_ROOT\Drive\shell\find\command >> （默认）的值为%SystemRoot%\Explorer.exe
恢复HKEY_CLASSES_ROOT\dunfile\shell\open\command >> （默认）的值为%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1
恢复HKEY_CLASSES_ROOT\ftp\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\htmlfile\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\htmlfile\shell\Print\command >> （默认）的值为"rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1""
恢复HKEY_CLASSES_ROOT\HTTP\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\inffile\shell\Install\command >> （默认）的值为%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
恢复HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command >> （默认）的值为rundll32.exe shdocvw.dll,OpenURL %l
恢复HKEY_CLASSES_ROOT\scrfile\shell\install\command >> （默认）的值为rundll32.exe desk.cpl,InstallScreenSaver %l
恢复HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command >> （默认）的值为"C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1"
恢复HKEY_CLASSES_ROOT\telnet\shell\open\command >> （默认）的值为rundll32.exe url.dll,TelnetProtocolHandler %l
恢复HKEY_CLASSES_ROOT\Unknown\shell\openas\command >> （默认）的值为%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew >> Command的值为 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe >> （默认）的值为exefile
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew >> Command的值为rundll32.exe appwiz.cpl,NewLinkHere %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe"
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command >> （默认）的值为rundll32.exe shell32.dll,Control_RunDLL "%1",%*
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command >> （默认）的值为%SystemRoot%\Explorer.exe
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command >> （默认）的值为%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\Print\command >> （默认）的值为"rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1""
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command >> （默认）的值为%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\open\command >> （默认）的值为rundll32.exe shdocvw.dll,OpenURL %l
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command >> （默认）的值为rundll32.exe desk.cpl,InstallScreenSaver %l
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command >> （默认）的值为"C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1"
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command >> （默认）的值为rundll32.exe url.dll,TelnetProtocolHandler %l
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command >> （默认）的值为%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet >> （默认）的值为IEXPLORE.EXE
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon >> Shell的值为Explorer.exe

删除如下快捷方式：
安全测试.lnk
系统信息管理器.lnk
计算机安全中心.lnk

你们没见过这个写着（龙）字的病毒吗

估计你的杀毒软件已经被病毒杀掉了才查不出来
建议你下载并使用HijackThis1.99.1 扫描一个日志贴上来
HijackThis下载地址请参考：
【必读】本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

HijackThis的使用方法-----请参考--瑞星HijackThis专题
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm

或参考图解说明：本版基本操作说明http://forum.ikaka.com/topic.asp?board=67&artid=6789825中的14，15楼图解