今天我不小心下了一个软件,结果中毒了,下载后用瑞星右键杀毒结果没毒。后来我用360安全卫士杀杀了几个木马，其中有一个是Sysloader木马程序，病毒路径在C：\windows\system32\sysloa~1.dll,必须得重启后清除,我重启后在用360安全卫士杀还有,进安全模式下杀完了在重启也不管用,我该怎么杀呢?

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

没人理我啊，大家帮我看下日志啊，我刚把那个病毒文件在360里给粉碎掉了，帮我看看好没？
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      22:16:21, 日期 2008-4-14
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
G:\瑞星\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
G:\瑞星\RISING\RAV\ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\瑞星\RISING\RAV\RavStub.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
G:\瑞星\Rising\Rav\RavTask.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\360安全卫士\360safe\safemon\360Tray.exe
G:\瑞星\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\四海互动\四海互动游戏加速器\SpeedNet.exe
E:\qq2008bata\QQ.exe
E:\qq2008bata\TXPlatform.exe
C:\WINDOWS\system32\conime.exe
G:\TT\TTraveler.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.437\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - G:\讯雷\xunlei\ComDlls\TDAtOnce_Now.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - G:\讯雷\xunlei\ComDlls\xunleiBHO_Now.dll
O2 - BHO: Adobe Common Objects - {986488AF-13D5-9DDF-4FEF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2048.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [RavTask] "G:\瑞星\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [360Safetray] G:\360安全卫士\360safe\safemon\360Tray.exe /start
O4 - 启动项HKLM\\RunOnce: [KKDelay] E:\卡卡\RunOnce.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O8 - IE右键菜单中的新增项目: 使用迅雷下载 - G:\讯雷\xunlei\Program\geturl.htm
O8 - IE右键菜单中的新增项目: 使用迅雷下载全部链接 - G:\讯雷\xunlei\Program\getallurl.htm
O8 - IE右键菜单中的新增项目: 复制到我的QQ记事本 - http://mail.qq.com/cgi-bin/loginpage?r=1&templatename=note_copy
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://E:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\qq2008bata\AddEmotion.htm
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的按钮: 一起来音乐社区 - {7DBC6ADB-5788-4FB9-AEC3-B40A58AC11DF} - http://www.yiqilai.com (file missing)
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O10 - 未知的文件在 Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O16 - DPF: {2375BEE5-F175-4F1C-81EC-8E4E2E72E2DD} (PhotoDraw Class) - http://imgcache.qq.com/qzone/client/photo/pages/QQPhotoDrawSetup.exe
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab
O16 - DPF: {B4D9857D-8A55-4442-A577-6B3ED5D4E41B} (ScreenCapture Class) - http://mail.qq.com/zh_CN/activex/TencentMailActiveX.cab
O16 - DPF: {BFB79EE1-04AE-4D4A-B85E-27EE5F30C095} (ScreenCapture Class) - http://m53.mail.qq.com/zh_CN/activex/TencentMailActiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26628A7A-C33A-4727-9CB8-C2C5A474CC56}: NameServer = 211.98.2.4 211.98.4.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{82EED9A8-AE22-4449-9DD3-0F6010C2F9A6}: NameServer = 211.98.2.4 211.98.4.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{87FE686F-2AE3-4C70-B12A-DAF7BACE69DA}: NameServer = 211.98.2.4 211.98.4.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{26628A7A-C33A-4727-9CB8-C2C5A474CC56}: NameServer = 211.98.2.4 211.98.4.1
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - NT 服务: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - NT 服务: portablemsi - Unknown owner - C:\WINDOWS\system32\lantian.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - G:\瑞星\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - G:\瑞星\RISING\RAV\Ravmond.exe

建议：
先用工具清理下系统 然后扫描完整SRE日志报告

清理系统临时文件和IE临时文件夹     
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://client.download.duba.net/KASSetup_10_1.EXE
下载windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

下载Sreng，解压缩运行

1.先把不相关的软件关闭（比如QQ 浏览器 播放软件之类...）
2.智能扫描(记得勾上数字签名选项）=》扫描=》保存报告
3.把日志SREngLOG.log中的报告完整复制粘贴上来，[全选(Ctrl+a) >>复制(Ctrl+c) >>粘贴(Ctrl+v)] 上来或者粘贴到记事本中以附件形式上传上来

SRE下载地址
http://www.kztechs.com/sreng/sreng928.zip
友情提示:如果下载后不能运行请删除已下载的,然后重新下载.下载后首先不要运行先将下载的SREng.exe重命名为SREng.com(SREng.scr\SREng.bat\SREng.pif)或者abc.exe运行

秋叶蒙蒙,我下了那个SRENG运行不了,说让我填名字和授权号,并且我把名字改为.com的格式还是运行不了,怎么办啊?

昨天我把这个病毒在注册表里删完重启系统后，360又提示说有个木马在入侵我的电脑，然后我点删除并阻止木马，机器就死机了，我就进安全模式去用冰刃把那个木马文件给删除了，木马的路径在C：\windows\inf\mscomfix.exe .今天早晨不知道还有没有问题，我把日志发上来，大家帮我看看还有木马吗？
日志在附件中。

引用:

【翹翹鈑oоО的贴子】昨天我把这个病毒在注册表里删完重启系统后，360又提示说有个木马在入侵我的电脑，然后我点删除并阻止木马，机器就死机了，我就进安全模式去用冰刃把那个木马文件给删除了，木马的路径在C：\windows\inf\mscomfix.exe .今天早晨不知道还有没有问题，我把日志发上来，大家帮我看看还有木马吗？ 日志在附件中。 ………………

问题项目如下：

服务：
[Windows zdak RunThem / zdak][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\uyvf\eifp.dll><>

驱动：
[467109 / 467109][Running/Manual Start]
  <2 - 系统找不到指定的文件><N/A>

正在运行的进程：
c:\windows\inf\dev01.inf
C:\PROGRA~1\uyvf\（这个目录连同其下的文件）

C:\WINDOWS\system32\lantian.exe这个是什么？？？

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\system32\bc11.dll
c:\windows\inf\dev01.inf
C:\PROGRA~1\uyvf\eifp.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys

如果提示文件不存在，就操作下面，不要再到处问为什么文件不存在。

—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[Invoke Class]
  {FFB3D068-F8DA-4370-A71E-83B1C959CDD6} <C:\WINDOWS\system32\bc11.dll, N/A>

——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
服务
[DCOM Service Process Manager / DCOMManager64][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\inf\dev01.inf><Microsoft Corporation>

[Windows zdak RunThem / zdak][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\uyvf\eifp.dll><>
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项，将启动类型改为“Disabled”
==================================
服务
[portablemsi / portablemsi][Stopped/Auto Start]
  <C:\WINDOWS\system32\lantian.exe><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[System event loader / ntptdb][Stopped/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys><N/A>

[467109 / 467109][Running/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>
————————————————————————————————————
再重启电脑，反复检查，操作删除，

————————————————————————————————————
再重启电脑，

升级杀毒软件至最新版本全盘杀毒。

下载卡卡助手，清理你那系统。

记得打打系统漏洞补丁