电脑电脑好像毒一直没除清。。。上QQ过了一会就提示发现盗号木马。。然后QQ就奇卡了。。。打开任务管理器CPU也是居高不下。。。现将sreng扫过的日志传上。。。麻烦那位大虾帮忙解决烦恼。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

中了木马群，日志中异常情况见附件。

总体原则：

1、先用强删工具（冰刃、WSYSCHECK等）设置“禁止进线程创建”后，先删除“注册表”、“驱动程序”、“正在运行的进程”中对应的病毒文件（模块）；或用重启删除工具(XDELBOX1.8等)设置“抑制再生”后，用重启删除强行杀灭。

2、病毒文件干掉后，用SRENG扫描工具辅助删除病毒在注册表、驱动程序添加的启动项（注意APPINIT_DLLS这个注册表值项不能直接删除，只需将值项值编辑为kmon.dll即可，且事先最好提前关闭杀软监控）。

建议使用XDelBox(下载地址：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806）
删除以下文件：（使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择剪贴板导入不检查路径，导入后记得勾选抑制其再生，在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备）

    C:\WINDOWS\system32\lekdnbkc.dll
    C:\WINDOWS\system32\eicpiijn.dll
C:\WINDOWS\system32\hbmkiomp.dll
C:\WINDOWS\system32\ofloccid.dll
C:\WINDOWS\system32\bnhfjjeo.dll
C:\WINDOWS\system32\mlgcpjnp.dll
C:\WINDOWS\system32\ejlpoidc.dll
C:\WINDOWS\system32\lfjmhhoc.dll
C:\WINDOWS\system32\jajgjmkh.dll
C:\WINDOWS\system32\iidkjhpc.dll
C:\WINDOWS\system32\inhoddnf.dll
C:\WINDOWS\system32\hjoieohj.dll
C:\WINDOWS\system32\hjoieohj.dll
C:\WINDOWS\system32\bibmlnic.dll
C:\WINDOWS\system32\Drivers\0011701c.sys
C:\WINDOWS\System32\Drivers\msiffei.sys

删除重启后使用SREng修复下面各项：

启动项目 －－ 注册表之如下项删除：

  <wsctf.exe><wsctf.exe>  [N/A]
  <Alcmtr><anymie360.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E2C92237-1CA0-42A2-9389-034FAF327559}><C:\WINDOWS\system32\eicpiijn.dll>  []
    <{5E4D7B4C-223E-44F8-BB27-8B2E187CA192}><C:\WINDOWS\system32\lekdnbkc.dll>  []
    <{3A303641-EEA5-4A46-AC10-9E5CBD3172A9}><C:\WINDOWS\system32\jajgjmkh.dll>  []
    <{5F36118C-A94C-46FF-A2AB-694425F18DAD}><C:\WINDOWS\system32\lfjmhhoc.dll>  []
    <{1382E813-A404-4551-8FE1-E09122E0162A}><C:\WINDOWS\system32\hjoieohj.dll>  []
    <{E35982DC-42C8-4C45-B7D1-1E8B78EAADE5}><C:\WINDOWS\system32\ejlpoidc.dll>  []
    <{B2B6572C-BB48-4A7C-B1F7-6EE517A883D3}><C:\WINDOWS\system32\bibmlnic.dll>  []
    <{22D4319C-3C97-4815-B338-E678C1B92A75}><C:\WINDOWS\system32\iidkjhpc.dll>  []
    <{8F58CC2D-CAE0-4F7D-87BA-1120CDFB9739}><C:\WINDOWS\system32\ofloccid.dll>  []
    <{2718DD7F-FCFD-4B31-9E8C-601915C5D979}><C:\WINDOWS\system32\inhoddnf.dll>  []
    <{650C9379-FF9A-416D-85AC-FBB0F679E757}><C:\WINDOWS\system32\mlgcpjnp.dll>  []
    <{D5799CDC-5840-4F24-93A0-1B93DBACDF4B}><C:\WINDOWS\system32\dlnppcdc.dll>  [File is missing]
    <{0F7A599D-CC92-4795-9C3B-12608778486A}><C:\WINDOWS\system32\gfnalppd.dll>  [File is missing]
    <{56F44CF1-4CF2-49B7-9CBF-A1C99FE929AF}><C:\WINDOWS\system32\lmfkkcfh.dll>  [File is missing]
    <{17B6BF0B-4E96-4759-9079-1C98C4CE1809}><C:\WINDOWS\system32\hnbmbfgb.dll>  [File is missing]
    <{38E826A1-1692-4A6F-9224-359D6C687C78}><C:\WINDOWS\system32\joeoimah.dll>  [File is missing]
    <{81F6FC4F-1888-4E58-A8FF-A481B5824BEF}><C:\WINDOWS\system32\ohfmfckf.dll>  [File is missing]
    <{ADE44DC7-05C3-4980-B278-788525C8C4FF}><C:\WINDOWS\system32\adekkdcn.dll>  [File is missing]
    <{E637058A-9E4D-4F0B-9459-8411DD70BA2B}><C:\WINDOWS\system32\emjngloa.dll>  [File is missing]
    <{61936B76-8B4C-4E72-9EE2-62DEB1E9A954}><C:\WINDOWS\system32\mhpjmbnm.dll>  [File is missing]
    <{D40577EF-8936-45AD-BE3D-EC3B06B7AE76}><C:\WINDOWS\system32\dkglnnef.dll>  [File is missing]
    <{FB2FB322-D3BA-4E3D-AC88-3B64FB5286F9}><C:\WINDOWS\system32\fbifbjii.dll>  [File is missing]
    <{EA4522E3-6DE2-4857-92CB-17B09765C40A}><C:\WINDOWS\system32\eakliiej.dll>  [File is missing]
    <{315B4ABF-186C-4C2D-8EFD-040C332AB4AF}><C:\WINDOWS\system32\jhlbkabf.dll>  [File is missing]
    <{2DB920D4-1DD0-4110-A330-5BF940ABE365}><C:\WINDOWS\system32\idbpigdk.dll>  [File is missing]
    <{1444F708-DA5A-446D-A59D-102F2E82F9CB}><C:\WINDOWS\system32\hkkkfngo.dll>  [File is missing]
    <{261EF826-F048-4397-8705-0BF70CB68993}><C:\WINDOWS\system32\imhefoim.dll>  [File is missing]
    <{6C02B8B9-AD0F-440C-801C-BEBF98427E9E}><C:\WINDOWS\system32\mcgibobp.dll>  [File is missing]
    <{E1996F21-711A-44A9-BBF5-6AE0E469F640}><C:\WINDOWS\system32\ehppmfih.dll>  [File is missing]
    <{87154B17-659D-4E94-901A-B3DD0EA4406C}><C:\WINDOWS\system32\onhlkbhn.dll>  [File is missing]
    <{432B2113-6B3A-4F94-A3CB-3078AA8349F9}><C:\WINDOWS\system32\kjibihhj.dll>  [File is missing]
    <{D14D5775-EC26-42D8-B1BD-99ABBA43AA07}><C:\WINDOWS\system32\dhkdlnnl.dll>  [File is missing]
    <{CE843C87-6C72-44AA-B944-C4285680DC40}><C:\WINDOWS\system32\ceokjcon.dll>  [File is missing]
    <{792DD17E-7E41-4C95-914E-FC9447AF9324}><C:\WINDOWS\system32\npiddhne.dll>  [File is missing]
    <{49711758-5A47-4D37-B160-68A914382A0F}><C:\WINDOWS\system32\kpnhhnlo.dll>  [File is missing]
    <{B71F33E8-A760-4444-AA10-5E9A88307239}><C:\WINDOWS\system32\bnhfjjeo.dll>  []
    <{1B642869-C5E7-4AAC-B8A6-C2524068F9D1}><C:\WINDOWS\system32\hbmkiomp.dll>  []
    <{B0913D0C-9FA5-4A9E-ABEF-614BC789780F}><C:\WINDOWS\system32\bgphjdgc.dll>  [File is missing]
    <{23C998E8-7828-4CA7-9F88-FB2AA18F2A73}><C:\WINDOWS\system32\ijcppoeo.dll>  [File is missing]
    <{45E257A5-5BC0-4FEB-A5B5-FE9FF9376EA3}><C:\WINDOWS\system32\kleilnal.dll>  [File is missing]
    <{609E09D7-7F22-4D2B-A111-F0E7588A0141}><C:\WINDOWS\system32\mgpegpdn.dll>  [File is missing]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
  <261EF826><C:\WINDOWS\system32\imhefoim.dll>  [File is missing]
    <E2C92237><C:\WINDOWS\system32\eicpiijn.dll>  []
    <1444F708><C:\WINDOWS\system32\hkkkfngo.dll>  [File is missing]
    <5E4D7B4C><C:\WINDOWS\system32\lekdnbkc.dll>  []
    <3A303641><C:\WINDOWS\system32\jajgjmkh.dll>  []
    <2DB920D4><C:\WINDOWS\system32\idbpigdk.dll>  [File is missing]
    <5F36118C><C:\WINDOWS\system32\lfjmhhoc.dll>  []
    <1382E813><C:\WINDOWS\system32\hjoieohj.dll>  []
    <E35982DC><C:\WINDOWS\system32\ejlpoidc.dll>  []
    <B2B6572C><C:\WINDOWS\system32\bibmlnic.dll>  []
    <315B4ABF><C:\WINDOWS\system32\jhlbkabf.dll>  [File is missing]
    <22D4319C><C:\WINDOWS\system32\iidkjhpc.dll>  []
    <8F58CC2D><C:\WINDOWS\system32\ofloccid.dll>  []
    <2718DD7F><C:\WINDOWS\system32\inhoddnf.dll>  []
    <E1996F21><C:\WINDOWS\system32\ehppmfih.dll>  [File is missing]
    <650C9379><C:\WINDOWS\system32\mlgcpjnp.dll>  []
    <6C02B8B9><C:\WINDOWS\system32\mcgibobp.dll>  [File is missing]
    <D5799CDC><C:\WINDOWS\system32\dlnppcdc.dll>  [File is missing]
    <0F7A599D><C:\WINDOWS\system32\gfnalppd.dll>  [File is missing]
    <56F44CF1><C:\WINDOWS\system32\lmfkkcfh.dll>  [File is missing]
    <17B6BF0B><C:\WINDOWS\system32\hnbmbfgb.dll>  [File is missing]
    <38E826A1><C:\WINDOWS\system32\joeoimah.dll>  [File is missing]
    <81F6FC4F><C:\WINDOWS\system32\ohfmfckf.dll>  [File is missing]
    <ADE44DC7><C:\WINDOWS\system32\adekkdcn.dll>  [File is missing]
    <E637058A><C:\WINDOWS\system32\emjngloa.dll>  [File is missing]
    <61936B76><C:\WINDOWS\system32\mhpjmbnm.dll>  [File is missing]
    <D40577EF><C:\WINDOWS\system32\dkglnnef.dll>  [File is missing]
    <FB2FB322><C:\WINDOWS\system32\fbifbjii.dll>  [File is missing]
    <EA4522E3><C:\WINDOWS\system32\eakliiej.dll>  [File is missing]
    <87154B17><C:\WINDOWS\system32\onhlkbhn.dll>  [File is missing]
    <432B2113><C:\WINDOWS\system32\kjibihhj.dll>  [File is missing]
    <D14D5775><C:\WINDOWS\system32\dhkdlnnl.dll>  [File is missing]
    <CE843C87><C:\WINDOWS\system32\ceokjcon.dll>  [File is missing]
    <792DD17E><C:\WINDOWS\system32\npiddhne.dll>  [File is missing]
    <49711758><C:\WINDOWS\system32\kpnhhnlo.dll>  [File is missing]
    <B71F33E8><C:\WINDOWS\system32\bnhfjjeo.dll>  []
    <B0913D0C><C:\WINDOWS\system32\bgphjdgc.dll>  [File is missing]
    <23C998E8><C:\WINDOWS\system32\ijcppoeo.dll>  [File is missing]
    <45E257A5><C:\WINDOWS\system32\kleilnal.dll>  [File is missing]
    <609E09D7><C:\WINDOWS\system32\mgpegpdn.dll>  [File is missing]
    <1B642869><C:\WINDOWS\system32\hbmkiomp.dll>  []


<AppInit_DLLs><ofloccid.dll,bibmlnic.dll,hjoieohj.dll,hbmkiomp.dll,eicpiijn.dll,lekdnbkc.dll,inhoddnf.dll,iidkjhpc.dll,jajgjmkh.dll,lfjmhhoc.dll,ejlpoidc.dll,mlgcpjnp.dll,bnhfjjeo.dll,kmon.dll>  []改为<AppInit_DLLs><kmon.dll>

启动项目 －－ 服务－－ 驱动程序之如下项删除:
SREng-在"启动项目->服务－>驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后，点"删除服务"，点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):

[0011701c / 0011701c][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\0011701c.sys><N/A>
[msiffei / msiffei][Stopped/Manual Start]
  <System32\Drivers\msiffei.sys><N/A>

[System Restore Filter Driver / sr][Stopped/Boot Start]
  <\SystemRoot\system32\DRIVERS\sr.sys><N/A> 启动类型改为disabled

把附件里的文件解压至C:\windows\system32\dllcache和system32下覆盖。



用W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

引用:

就算C:\WINDOWS\system32\ctfmon.exe这个系统文件有问题，“<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [Microsoft Corporation]”这个注册表启动项目也不应删除，只需替换文件即可。对文件是否被病毒感染或替换，建议提交样本检验，个人认为文件正常……

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <wsctf.exe><wsctf.exe>  [N/A]

上面这个DD居然漏网了，郁闷……

我没漏

建议再看看我在3楼你帖里的提示。

你的失误可能导致求助者重启计算机后找不到输入法，还要再细心啊……

专家。。。

不小心把那项也拖进来了。

如果可以LZ上传本机的ctfmon.exe文件。。。

不知道你那么列文件列表是否可以删除病毒文件

文件路径前不能有空格
改去吧

照你的方法做了。。。在sreng中删那些注册表项好像删不掉。。。
〈AppInit_DLLs〉这个在里面有N个。。也改不了。。还老弹出值被改的提示。。。还有那些注册表项可以批量删吗？。。我一个一个删快累死了。。。

按住shift可以选多个删除
但要选正确

AppInit_DLLs〉这个你可以选下面的编辑删除多余的