昨天晚上浏览一个叫www.4443.com网页电脑就突然死机２分钟，然后用兔子检测发现突然安装了以下软件：在硬盘中找到以下可疑程序：
C:\WINDOWS\LOGO1_.EXE
C:\WINDOWS\Download\SVHOST32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SMSS.EXE
C:\WINDOWS\SVCHOST.EXE
c:\program files\microsoft\svhost32.exe
c:\program files\microsoft\svhost32.exe
c:\windows\logo1_.exe


网络软件安装情况：

搜易财富火箭
Crack/Down/Bind/Install/Soft
KB8964115
ZT
SystemInspect
Logo1
moffice用兔子删除后又出现　瑞星安全模式杀毒也没用，又用威金专杀工具杀了又出现．现HijackThis_zww汉化版扫描日志 V1.99.1
保存于      11:47:38, 日期 2006-10-24
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
G:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
G:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
g:\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Program Files\Rising\Rav\RavStub.exe
g:\rising\rfw\RfwMain.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\Logo1_.exe
D:\安装程序\系统清理维护\MagicSet\magicset.exe
G:\Program Files\Rising\Rav\Rav.exe
G:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\安装程序\系统清理维护\MagicSet\iehelp.exe
D:\个人下载\系统工具\jackthis\2535952005811174944\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: (no name) - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - (no file)
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\安装程序\系统清理维护\MagicSet\haokanbar.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\安装程序\系统清理维护\MagicSet\haokanbar.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\dllcache\tintsetp.exe /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\dllcache\tintsetp.exe /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [RavTask] "G:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "G:\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - 启动项HKLM\\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - 启动项HKLM\\Run: [wl] C:\WINDOWS\Download\svhost32.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "G:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\安装程序\系统清理维护\迅雷\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\安装程序\系统清理维护\迅雷\getallurl.htm
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B3E5451-5473-42A1-89F4-CE3AAB41C702}: NameServer = 61.177.7.1 221.228.255.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B3E5451-5473-42A1-89F4-CE3AAB41C702}: NameServer = 61.177.7.1 221.228.255.1
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - g:\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - g:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - G:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - G:\Program Files\Rising\Rav\Ravmond.exe

在所有带ＥＸＥ的文件图标都已被感染变形．现在我到底该怎么办呢？

用专杀，杀不干净只能全盘格
我的e盘里有一个可以试试 mizuki.ys168.com

杀了又出现啊，所有能用的杀毒和修复方法都用了，还原注册表也做了，全无效．难道非要格盘重装吗

版主告诉我怎么做好吗

怎么没人处理吗

难道是我前几天中的威金。我也是他们帮忙解决掉的。
转他们贴发下
******************切记下载完下面的工具后，断网杀毒和修复***************      www.cqww.org

1 在mizuki.ys168.com （这是水树雨下大哥的个人网盘，放的都是安全工具）点击“软件”下载IceSword(强大进程结束工具，竟然可以不被威金感染)，然后结束掉logo1_.exe，rundl132.exe，删除掉他们，此时下载一个新的winrar要exe格式的（否则后面2和3步骤的工具解压时可能会启动以前感染的winrar）并安装好，IceSword随时注意那两个进程是否启动，启动就干掉
2 在mizuki.ys168.com 下载logo免疫专杀工具.rar这里我们只使用里面的免疫工具 logo免疫.bat，运行他进行免疫（主要是伪装病毒文件，请暂时不要将伪装文件删除）
3 在http://shop.cqww.org/Soft/ShowSoft.asp?SoftID=41 下载专杀工具（这个专杀工具要比logo免疫专杀工具.rar中的专杀工具版本新），尽量多的关闭应用程序（不关闭的无法修复，因为在使用中），开始修复目标盘.exe文件（添加目标），修复完毕后该工具关闭时可以把桌面以及开始中的没有修复的快捷方式修复（该功能在我这里没有成功）

这样应该就OK了，没再发作。

4 修改相关启动项或服务

注：关于应用程序的修复：大部分应用程序如outlook都可以修复，瑞星和卡巴司基的安装文件还有实况足球9无法修复图标，但是可以使用，其他没时间测试应该没啥问题，而像System Repair Engineer这样的安全工具有安全校验能发现被病毒修改过，即使修复也自动失效。

补充1：杀毒后两个小时后，在用SREng2修复启动加载项，更改服务和驱动后，原来几个没有修复的图标竟然都正常恢复回来了。。。怪异啊

补充2：中威金的症状
威金的一个变种最大特点是
几乎所有应用程序的图标都变"模糊方块状"，而且被注入病毒。
只有个别杀毒软件和icesword可以免疫。
在所有含有有可执行文件.exe的文件夹内都会生成_desktop.ini（我就发现了2，3千个）所以对硬盘和应用程序的破坏能力很大，刚发作时硬盘灯会持续不断的闪。直到注入完所有的应用程序后，才停止复制。不干掉病毒主程序时，一删除一个_desktop.ini，就立刻生成一个_desktop.ini。

另感谢工具的制作者！还有感谢 水树雨下 大哥的网盘。
我用是好用的，高手们看看可行不？

非常感谢你，我中的就是那个可恶的威金．但感觉程序太复杂我是菜鸟解决不了．只有全格重装了．顺便诅咒下威金病毒制作者全家死光光，中国的败类，如果小日本来了也是汉奸一个　．