想请教高手点问题：

朋友的电脑最近盘符出现auto，双击打不开。
发现中了Backdoor.Win32.Gpigeon.zfj（感染到我的U盘上到我的电脑里发现的）
应该是个木马！杀软是07瑞星19.44.xx（具体忘了）查不到！
用手动杀
用HijackThis1.99.1扫系统日志，根据日志提示的灰鸽子启动加载项和灰鸽子文件所在位置，进行手工杀毒。
这套方法在我的机器上好用，但是他的机器却不好使！每次删除了注册表项一刷新或是重启后都会出现！搞不懂！
是不是他的FAT32格式的关系（支持DOS）？


请高手帮帮忙！如何手动杀！

下面是他的日志：

HijackThis_815汉化版扫描日志 V1.99.1
保存于      14:25:11, 日期 2007-10-31
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Unable to get Internet Explorer version!

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\KVFW\KVwsc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mmc.exe
C:\program files\internet explorer\IEXPLORE.EXE
就是伪装成这个服务进程，关闭后又出来！
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Starsoftcomm\StarCenter\alert.exe
C:\Program Files\Starsoftcomm\StarCenter\StarCenter.exe
C:\Program Files\Rising\AntiSpyware\runiep.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\KVFW\kvfw.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.375\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [Alert] C:\Program Files\Starsoftcomm\StarCenter\alert.exe
O4 - 启动项HKLM\\Run: [StarCenter] C:\Program Files\Starsoftcomm\StarCenter\StarCenter.exe
O4 - 启动项HKLM\\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [KVFW] C:\Program Files\KVFW\kvfw.exe -silent
O17 - HKLM\System\CCS\Services\Tcpip\..\{44C8D914-B0B2-4805-9A1E-B0D6A0BFF972}: NameServer = 202.96.64.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{44C8D914-B0B2-4805-9A1E-B0D6A0BFF972}: NameServer = 202.96.64.68
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: KVWSC - Jiangmin Co - C:\Program Files\KVFW\KVwsc.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - NT 服务: svohost.exe - Unknown owner - C:\WINDOWS\svchcst.exe
在注册表中
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到了svohost.exe项，就是删了刷新或是重启后又出现

最后附个该木马包，小心带有AutoRun.inf文件！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

双进程保护吧

mmc进程？

mmc没试过禁掉！
有问题吗？
再说有问题的服务就一个呀！

mmc只要不是你开的话，也就是它了。
守护进程

可以关闭mmc吗？

结束mmc和iexplore这两个进程

估计差不多搞的定，不行的话就上sre了

引用:

【涅磐86970的贴子】结束mmc和iexplore这两个进程 估计差不多搞的定，不行的话就上sre了 ………………

sre是什么？是sreng2吗？不过这个不会用！

结束mmc和iexplore这两个进程
删除服务及文件O23 - NT 服务: svohost.exe - Unknown owner - C:\WINDOWS\svchcst.exe
删除每个盘符下的autorun.inf和svchcst.exe（注意不要双击打开盘符，在地址栏输入c:\ d:\)

搞不定的话，就上sreng日志了。

【回复“rrrrrxxxx”的帖子】
1、用IceSword，先禁止进程创建；接着结束mmc.exe、explore.exe、cmd进程，再删除下列文件（图）（注意：多分区，其它分区根目录下的autorun.inf和svchcst.exe也要一一删除）。
2、删除下列服务项：
HKLM\System\CurrentControlSet\Services分支下的：
svohost.exe系统启动必须项（禁止关闭）(指向 C:\windows\svchcst.exe)

谢谢楼上两位！
终于要用冰刃了，明天去试试！
顺便问一句：
FAT32格式对于杀毒有影响吗？会杀不干净吗？


今天按猫叔说的给他解决了^_^