【求助】这是什么病毒？exe文件一运行，桌面屏幕一闪下就没了。杀软装上就被破坏。
不是熊猫。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; Maxthon; .NET CLR 1.1.4322)

这个应该是类似AV终结者的“映象劫持”
看看置顶的AV帖中有相关的“映象劫持”处理方法

下载 System Repair Engineer，
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

运行SREng.exe（如果不能运行，改名为111.exe、111.bat、111.scr、111.com或111.pif）

跟我一样啊，应该是病毒：Backdoor.Win32.DarkMoon.ai

引用:

【yemasoft的贴子】跟我一样啊，应该是病毒：Backdoor.Win32.DarkMoon.ai ………………

有病毒源文件吗?
楼主,扫个日志上来~~

日志在附件中。欢迎大家帮忙查看下

为了杀这个毒，杀软挂了好几个了。

注意：删除病毒可能会具有一定的危险性 所以强烈建议操作前要把重要资料转移至非系统分区！
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsqmapm.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>  []
    <{1231A43A-1642-641A-64FD-146ADAB223B1}><C:\WINDOWS\system32\mxaman.dll>  [N/A]
    <{5182C1EB-375C-573D-1F5E-234552345215}><C:\WINDOWS\system32\wlhpri.dll>  [N/A]
    <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>  [N/A]
    <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>  []
    <{0CEC10DA-61C5-4254-AF59-0B3151B12BD0}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\4hj.dll>  [N/A]
    <{13B917C5-1BAB-1F85-237A-273D2B3E2F27}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\wmsjxx1kml.dll>  [N/A]
    <{1F364345-3094-1202-2581-45981903A4F1}><C:\WINDOWS\system32\rsqmapm.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <DirectX><C:\WINDOWS\system32\d3d8xof.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <avpqqsg><; C:\Program Files\NetMeeting\avpqqsg.exe>  [N/A]
    <MsIMMs32><; C:\WINDOWS\MsIMMs32.exe>  [N/A]
    <ravwdmon><; C:\Program Files\NetMeeting\ravwdmon.exe>  [N/A]
    <ravztmon><; C:\Program Files\NetMeeting\ravztmon.exe>  [N/A]

用SRENG扫描工具删除以下驱动程序
<system32\DRIVERS\ipinip.sys><N/A>

重启计算机进入安全模式下删除
[C:\WINDOWS\system32\rsqmapm.dll]  [N/A, ]
[C:\WINDOWS\system32\mscomm.dll]  [N/A, ]
<C:\WINDOWS\system32\rsmyapm.dll>  []
<C:\WINDOWS\system32\mxaman.dll>  [N/A]
<C:\WINDOWS\system32\wlhpri.dll>  [N/A]
<C:\WINDOWS\system32\rsjzapm.dll>  [N/A]
<C:\WINDOWS\system32\avzxamn.dll>  []
<C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\wmsjxx1kml.dll>  [N/A]
<C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\wmsjxx1kml.dll>  [N/A]
<C:\WINDOWS\system32\d3d8xof.dll>  [N/A]
<; C:\Program Files\NetMeeting\avpqqsg.exe>  [N/A]
<; C:\WINDOWS\MsIMMs32.exe>  [N/A]
<; C:\Program Files\NetMeeting\ravwdmon.exe>  [N/A]
<; C:\Program Files\NetMeeting\ravztmon.exe>  [N/A]
<system32\DRIVERS\ipinip.sys><N/A>

找出：
C:\WINDOWS\system32\rsmyapm.dll
C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\wlhpri.dll
C:\WINDOWS\system32\rsjzapm.dll
C:\WINDOWS\system32\avzxamn.dll
C:\WINDOWS\system32\rsqmapm.dll
依次改名为1.dll  2.dll ...
删除注册表内：
<{0CEC10DA-61C5-4254-AF59-0B3151B12BD0}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\4hj.dll>  [N/A]
    <{13B917C5-1BAB-1F85-237A-273D2B3E2F27}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\wmsjxx1kml.dll>  [N/A]

<{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><>  [N/A]
    <{1A321487-4977-D98A-C8D5-6488257545A1}><>  [N/A]
      <{1960356A-458E-DE24-BD50-268F589A56A1}><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <DirectX><C:\WINDOWS\system32\d3d8xof.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <avpqqsg><; C:\Program Files\NetMeeting\avpqqsg.exe>  [N/A]
<MsIMMs32><; C:\WINDOWS\MsIMMs32.exe>  [N/A]
<ravwdmon><; C:\Program Files\NetMeeting\ravwdmon.exe>  [N/A]
    <ravztmon><; C:\Program Files\NetMeeting\ravztmon.exe>  [N/A]
    <UserFaultCheck><; %systemroot%\system32\dumprep 0 -u>  [N/A]

删除驱动：
[ATSpy / ATSpy][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\ATSpy.sys><N/A>
[IP in IP Tunnel Driver / IpInIp][Stopped/Manual Start]
  <system32\DRIVERS\ipinip.sys><N/A>


重器 ，删除：
该过名字的
C:\WINDOWS\system32\rsmyapm.dll
C:\WINDOWS\system32\mxaman.dll
C:\WINDOWS\system32\wlhpri.dll
C:\WINDOWS\system32\rsjzapm.dll
C:\WINDOWS\system32\avzxamn.dll
C:\WINDOWS\system32\rsqmapm.dll
清空：
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
删除文件：
C:\WINDOWS\system32\mscomm.dll
C:\WINDOWS\system32\d3d8xof.dll
C:\Program Files\NetMeeting\avpqqsg.exe
C:\WINDOWS\MsIMMs32.exe
C:\Program Files\NetMeeting\ravwdmon.exe
C:\Program Files\NetMeeting\ravztmon.exe
C:\WINDOWS\system32\ATSpy.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys

删除注册表启动项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>  []
    <{1231A43A-1642-641A-64FD-146ADAB223B1}><C:\WINDOWS\system32\mxaman.dll>  [N/A]
    <{5182C1EB-375C-573D-1F5E-234552345215}><C:\WINDOWS\system32\wlhpri.dll>  [N/A]
    <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>  [N/A]
    <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>  []
<{1F364345-3094-1202-2581-45981903A4F1}><C:\WINDOWS\system32\rsqmapm.dll>  []

把
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsqmapm.dll>  []
设置为空

修复Winsock