首先崩溃下~周日到今天一直还在困惑~~~

这个病毒的来源怀疑是通过FLASH的漏洞下载的。。。因为装了这个系统以后还没有更新FLASH的插件~是番茄花园版的XP SP3~

病毒的表现就是
1：开机以后会运行“C:\windows\system32\mssetdk.exe” 任务管理器里面 显示用户名是"system",system32目录下生成文件mssetdk.exe和mssetd.dll，而且在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]下面生成"AppInit_DLLs"="mssetd.dll"，即便这个文件和注册表键值被删除，任然会被创建，而且在所有启动项目里都查找不到，开机器以后还会启动

2：进安全模式以后和上述情况一样~只是换成另外两个文件。。。

以上文件确实会被360查出并且删除。。。这个没问题~只是重启以后还会有~我想这个不是根本的问题~ ：（（（（（

3：开机器以后SVCHOST.exe文件会访问网络“http://a.llxslaile1.com/cn/”（[58.53.128.127]）下载病毒1.exe~26.exe?反正很多。。。还好都被NOD32给咔嚓掉了。。。但是这个SVCHOST文件如何启动这样的操作让我也很是纳闷。。。查看SVCHOST文件没有建在其他文件夹下，只有system32下面一个~迫于无奈我就装了个防火墙~是可以阻止病毒下载了。。。但是启动以后SVCHOST其中一个进程就会内存飙升~一直到100M以上~CPU100%~结束掉这个进程以后XP的主题就退出了~又成了原来WINDOWS的主题像WIN2003那样~但是结束掉以后并不会再下载病毒了。。。

4：我检查了启动的服务~并没有看出什么异常~用windows服务管理专家查看~也没有发现哪个服务器启动的程序有问题~很是郁闷。。。起初所有盘下面都有autorun.inf那个文件，删除以后就再没出现过，后来发现每个分区的根目录下面都有一个1G大文件~未知扩展名~那个也删除没再出现~只是现在前面三种情况还在继续出现。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; CIBA; MAXTHON 2.0)

楼主可以使用System Repair Engineer扫描日志作为附件上传
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

1.使用wsyscheck0223中文版结束相应的进程清除相应的文件，结束进程时候要选上
2.使用Sreng修改注册表项目
3.使用Xdelbox或者unlocker来清除残余文件。

这个是System Repair Engineer扫描的日志~

用wsyscheck0223查看进程~很多进程下面都有一个模块
C:\Documents and Settings\Administrator\Local Settings\Temp\norun.dll
感觉比较可疑。。。

更新内容：
Wsyscheck(0609升级主文件):再次修改Norun.dll,增添禁止文件复制与禁止创建注册表键与值.

c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys
lz去在线检测检查下这两项吧，其中第一项可疑性较大

http://bbs.ikaka.com/showtopic-8522258.aspx  用AWP阻止病毒更改你操作系统的时间,如果时间已经被更改

　 (1)使用ATOOL进程管理结束iexplore.exe进程点击此处下载免费工具Atool
　 (2)使用XDelBox删除以下文件：(XDelBox，点击后进原创软件下载)
          使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。
　 　 （注：该病毒下载的病毒列表可能会随时变化，确定你的NOD32拦截了下载病毒的运行）




下面的你可以复制了：


　 　c:\windows\system32\dllcache\cdaudio.sys
　 　 c:\windows\system32\dpvvoxmh.dll
　 　 c:\windows\system32\dpvvoxmh.nls
　 　 c:\windows\system32\msobjstl.dll
　 　 c:\windows\system32\msobjstl.nls
　 　 c:\windows\system32\wcnonpe.dll
　 　 c:\windows\system32\wcnonpek.exe
　 　 c:\windows\system32\ihstleuk.dll
　 　 c:\windows\system32\ihstleuk.nls
　 　 c:\windows\system32\mstimewd.dll
　 　 c:\windows\system32\mstimewd.nls
　 　 c:\windows\system32\adsntzt.dll
　 　 c:\windows\system32\adsntzt.nls
　 　 c:\windows\system32\gpsgajba.sys
　 　 c:\windows\system32\apsghjba.dll
　 　 c:\windows\system32\lpsgajba.exe
　 　 c:\windows\system32\ijsgajba.sys
　 　 c:\windows\system32\lweurqhx.dll
　 　 c:\windows\system32\lweurqhx.nls
　 　 c:\windows\system32\scrruncqsj.dll
　 　 c:\windows\system32\scrruncqsj.nls
　 　 c:\windows\system32\kncel32.exe
　 　 c:\windows\system32\kncel32.dll
　 　 c:\windows\system32\cliconfgzx.dll
　 　 c:\windows\system32\cliconfgzx.nls
　 　 c:\windows\system32\mssetd.dll
　 　 c:\windows\system32\welycz.dll
　 　 c:\windows\system32\gprD.exe
　 　 c:\windows\system32\d32dx9.sys
　 　 c:\windows\system32\dispexcb.dll
　 　 c:\windows\system32\dispexcb.nls
　 　 c:\windows\system32\dndsaf.dll
　 　 c:\windows\system32\dndsaf.dll.LoG
　 　 c:\windows\system32\kgfghd.dll
　 　 c:\windows\system32\kgfghd.dll.LoG
　 　 c:\windows\system32\kbdswjr.dll
　 　 c:\windows\system32\kbdswjr.nls
　 　 c:\windows\system32\bootvidgj.dll
　 　 c:\windows\system32\bootvidgj.nls
　 　 c:\windows\system32\dpvvoxmh.dll
　 　 c:\windows\system32\dpvvoxmh.nls
　 　 c:\windows\system32\msobjstl.dll
　 　 c:\windows\system32\msobjstl.nls
　 　 c:\windows\system32\wcnonpe.dll
　 　 c:\windows\system32\wcnonpek.exe
　 　 c:\windows\system32\ihstleuk.dll
　 　 c:\windows\system32\ihstleuk.nls
　 　 c:\windows\system32\mstimewd.dll
　 　 c:\windows\system32\mstimewd.nls
　 　 c:\windows\system32\adsntzt.dll
　 　 c:\windows\system32\adsntzt.nls
　 　 c:\windows\system32\gpsgajba.sys
　 　 c:\windows\system32\apsghjba.dll
　 　 c:\windows\system32\lpsgajba.exe
　 　 c:\windows\system32\ijsgajba.sys
　 　 c:\windows\system32\lweurqhx.dll
　 　 c:\windows\system32\lweurqhx.nls
　 　 c:\windows\system32\scrruncqsj.dll
　 　 c:\windows\system32\scrruncqsj.nls
　 　 c:\windows\system32\kncel32.exe
　 　 c:\windows\system32\kncel32.dll
　 　 c:\windows\system32\cliconfgzx.dll
　 　 c:\windows\system32\cliconfgzx.nls
　 　 c:\windows\system32\mssetd.dll
　 　 c:\windows\system32\welycz.dll
　 　 c:\windows\system32\dpvvoxmh.dll
　 　 c:\windows\system32\dpvvoxmh.nls
　 　 c:\windows\system32\msobjstl.dll
　 　 c:\windows\system32\msobjstl.nls
　 　 c:\windows\system32\wcnonpe.dll
　 　 c:\windows\system32\wcnonpek.exe

c:\windows\system32\drivers\atapi.sys 这个要删，替换系统的了驱动文件，请网上下载一个干净的驱动，在删除完毕后,放到DRIVERS目录
c:\275458c049c6f881.dat                  C盘默认没有DAT文件看见哪个删哪个


用超级兔子，清理系统

临时文件夹里面的东西，可以删除

感谢天仁

我检查了下~这两个文件不存在~安全模式下也没有~