我的PC是双系统
刚开始开机时第一个系统进入后 瑞星的杀毒程序 监控中心 防火墙 卡卡助手 全都打不

开，然后我去瑞星所在的文件夹里找程序，结果点了后说是windows找不到文件，让通过

搜索查找打开。 但是我试了还是不行。

然后我重新启动进入第二个系统，第二个系统的瑞星一系列程序都可以顺利打开升级杀

毒，所以我想试试先通过第二个系统查杀病毒、装补丁，再进入第二个系统运行杀毒软

件什么的。

我在第一个系统中杀毒时，有将近200多个文件受到Trojan.PSW.Win32.GameOL.mXX 这个

病毒感染，清楚病毒后，又使用System Repair Engineer修复了一下说是有几个入口点错

误。

重新启动后，进入第一个系统，但是瑞星一系列程序仍然打不开，于是到卡卡论坛参考

了<一夜间杀毒程序都打不开>的文章，下了个 “删除劫持映像恶意软件”的软件（名字

不知道，直接从文章里给的连接下的）。 运行后，瑞星杀毒程序，监控中心，卡卡上网

助手都可以打开了（但一重起刚运行瑞星就马上被关闭了，运行“删除劫持映像恶意软

件”的软件后又能打开，好像开机后瑞星程序又被关闭了），杀毒，但是还是有几十个

文件有病毒：Trojan.PSW.Win32.GameOL.mjf  Trojan.PSW.Win32.GameOL.muy  文件名

是upack0.34  。运行卡卡助手 查杀时发现4个木马程序，显示成功删除3个，剩余一个

说要重起才能查杀成功，可是重起多次都不行！这个是木马程序的名字：流行木马

(152).Ini （危险级别：高  状态：存在）

下了 windows清理助手 查杀 有24个可清理对象，其中我看了，有好多是木马程序，盗

号木马，劫持映像木马等等。也都是顽固木马，重起也查杀不下去！

因为家里人有看股票有玩网游的，怕被盗号，所以急需解决。。。



2楼我会放上日志 分别是第一个系统 和 第二个系统。

麻烦版主帮忙解决下吧~ 非常感谢！~


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

这个是我第二个系统的日志，也帮忙看看吧 谢谢~

第二个系统的日志看了，没问题。

你既然有第二个系统，为什么不就用第二个呢？？？

第一个为什么舍不得放弃？？？

你等会。

第一个系统日志问题较多.

下面是找出的一些.像是病毒的家伙...
如果要删的话.最好进入第二个系统(那个干净些)
里面有一些可能要进入第一个系统的注册表中删除.(这个也可以在第二个系统中打开那个注册表就可以进行删除了.)

<igzwzslm><C:\WINDOWS\gwsmhxuq.exe>  [N/A]
<LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <msccrt><C:\WINDOWS\msccrt.exe>  []
    <mfchlp32><C:\WINDOWS\mfchlp32.exe>  []



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]


[Atixeve2267 / Atixeve2267][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.137.tmp><N/A>
[Atixeve2436 / Atixeve2436][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.276.tmp><N/A>
[Atixeve2703 / Atixeve2703][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.563.tmp><N/A>
[mnsf / mnsf][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp27.tmp><N/A>
[R2A / R2A][Stopped/Disabled]
  <\??\C:\WINDOWS\system32a2.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1.tmp><N/A>


[C:\WINDOWS\system32\msepbe.dll]  [N/A, ]
    [C:\WINDOWS\system32\fehom.dll]  [N/A, ]
    [C:\WINDOWS\system32\hfjg.dll]  [N/A, ]
    [C:\WINDOWS\system32\rdthr.dll]  [N/A, ]
    [C:\WINDOWS\system32\crugd.dll]  [N/A, ]
    [C:\WINDOWS\system32\gjjte.dll]  [N/A, ]
    [C:\WINDOWS\system32\hgfhk.dll]  [N/A, ]
    [C:\WINDOWS\system32\rhs.dll]  [N/A, ]
    [C:\WINDOWS\system32\ijatnaw.dll]  [N/A, ]
    [C:\WINDOWS\system32\gjkhj.dll]  [N/A, ]
    [C:\WINDOWS\system32\jwlah.dll]  [N/A, ]
    [C:\WINDOWS\system32\lariytrz.dll]  [N/A, ]
    [C:\WINDOWS\system32\xdfntt.dll]  [N/A, ]
    [C:\WINDOWS\system32\gmnait.dll]  [N/A, ]
    [C:\WINDOWS\system32\chmfcmh.dll]  [N/A, ]
    [C:\WINDOWS\system32\ektvm.dll]  [N/A, ]
    [C:\WINDOWS\system32\hjaiq.dll]  [N/A, ]
    [C:\WINDOWS\system32\xgnfn.dll]  [N/A, ]
    [C:\WINDOWS\system32\oqrthc.dll]  [N/A, ]


下面这个像是被劫持了.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

HOSTS 文件要修复.

注意了，因为要进你的正常的第二个系统操作处理，然后再进第一个，这过程，有点绕人。
你一定看清楚了，逻辑顺序拿准了，呵呵！！！
————————————————————————————————————
作好所有操作所需要的下载工具的准备后，断网处理。

首先进第二个系统操作删除第一个系统里的病毒文件：

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
c:\windows\system32\chmfcmh.dll
c:\windows\system32\crugd.dll
c:\windows\system32\ektvm.dll
c:\windows\system32\fehom.dll
c:\windows\system32\gjjte.dll
c:\windows\system32\gjkhj.dll
c:\windows\system32\gmnait.dll
c:\windows\system32\hfjg.dll
c:\windows\system32\hgfhk.dll
c:\windows\system32\hjaiq.dll
c:\windows\system32\ijatnaw.dll
c:\windows\system32\jwlah.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\mfchlp32.dll
c:\windows\system32\msccrt.dll
c:\windows\system32\msepbe.dll
c:\windows\system32\oqrthc.dll
c:\windows\system32\rdthr.dll
c:\windows\system32\rhs.dll
c:\windows\system32\xdfntt.dll
c:\windows\system32\xgnfn.dll
c:\windows\gwsmhxuq.exe
c:\windows\lotushlp.exe
c:\windows\msccrt.exe
c:\windows\mfchlp32.exe
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.137.tmp
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.276.tmp
c:\docume~1\admini~1\locals~1\temp\~wxp2ins.563.tmp
c:\docume~1\admini~1\locals~1\temp\tmp27.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\drivers\rbjep.sys
c:\windows\system32a2.sys
c:\docume~1\admini~1\locals~1\temp\tmp1.tmp
——————————————————————————————————————————————
接着还是在这第二个系统里。
将你这D:\windows\explorer.exe文件复制到c:\windows\文件夹里替换掉第一个系统里的桌面程序explorer.exe
因为它已被病毒替换了。

————————————————————————————————————————————
这时你已经可以重启电脑，进你那第一个系统里了。

继续下面操作。
————————————————————————————————————
这贴里下载那个我在17楼提供的附件，解压后运行，删除检测到的所有映像劫持。
http://forum.ikaka.com/topic.asp?board=28&artid=8433210

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
[igzwzslm]    <C:\WINDOWS\gwsmhxuq.exe>
[LotusHlp]    <C:\WINDOWS\LotusHlp.exe>
[msccrt]    <C:\WINDOWS\msccrt.exe>
[mfchlp32]    <C:\WINDOWS\mfchlp32.exe>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将下面项目置空（就是选择“编辑”）这必须关闭杀毒软件的监控，否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><wfhyt.dll,kghk.dll,lfsjgf.dll,stehs.dll,sthth.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,msepbe.dll,,msosmhfp00.dll>  [N/A]

就是将 <AppInit_DLLs><wfhyt.dll,kghk.dll,lfsjgf.dll,stehs.dll,sthth.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,msepbe.dll,,msosmhfp00.dll>  [N/A]
的“值”项编辑置空为：

  <AppInit_DLLs><>  [N/A]

你可以选择其中一个红色项，然后编辑时你可能看不到什么，只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
[Atixeve2267 / Atixeve2267]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.137.tmp>
[Atixeve2436 / Atixeve2436]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.276.tmp>
[Atixeve2703 / Atixeve2703]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~wxp2ins.563.tmp>
[mnsf / mnsf]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp27.tmp>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[rbjep / rbjep]    <\SystemRoot\\SystemRoot\System32\drivers\rbjep.sys>
[R2A / R2A]    <\??\C:\WINDOWS\system32a2.sys>
[mhfp / mhfp]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp1.tmp>

————————————————————————————————————
再重启电脑，再进第一个系统，升级杀毒软件至最新版本全盘杀毒。

下载卡卡助手，清理你那系统。

记得打打系统漏洞补丁

清空IE缓存，清空临时文件夹。

这 里 下 载 W i n d o w s 清 理 助 手 ，清理你那系统。
http://www.arswp.com/

因为第一个系统存的东西比较多，平常都是在用第一个， 第二个基本没怎么用过。

我试试看~~

第一步我就出问题了, 在第二个系统里找不到那些要删除的文件...

在第二个系统里怎么找不到？？？？

你自己直接手工去找的？？？

还是费尔木马清除助手提示的？？？

我把要删除的项目 复制粘贴在 那里面
然后开始操作 显示 不存在文件

难道所有文件都不存在？？？？

如果显示已删除一部分

有几个不存在的，就不管了。