每次关机 创建键值
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"afoio"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\
  75,00,6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,25,\
  00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,00,5c,00,\
  73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,61,00,66,00,6f,00,69,\
  00,6f,00,2e,00,64,00,6c,00,6c,00,2c,00,44,00,6c,00,6c,00,55,00,6e,00,72,00,\
  65,00,67,00,69,00,73,00,74,00,65,00,72,00,53,00,65,00,72,00,76,00,65,00,72,\
  00,00,00

%systemroot%\system32\Rundll32.exe %systemroot%\system32\afoio.dll,DllUnregisterServer

每次启动完毕后 此键自动被删除（正常模式，安全模式不会被删除，这个是在安全模式下找到的），关机时自动又创建，看注册表记录，曾经winlogon创建了这个键值。后来不知道是怎么回事了。我将这个dll删除，现在一直有加载不到这个模块的错误提示。

用记事本打开 其dll 发现 网址 http://www.pbqc.com/f2/up.dat?p=%s&g=%s
打开http://www.pbqc.com/ 只有 “hello” 一个词
http://www.pbqc.com/f2/up.dat?p=%s&g=%s 则出现一串乱码

用注册表 搜索一下 应该就可以找到了~!

每次启动完毕后 此键自动被删除
（正常模式，安全模式不会被删除，这个是在安全模式下找到的），

关机时自动又创建，看注册表记录，曾经winlogon创建了这个键值。后来不知道是怎么回事了。我将这个dll删除，现在一直有加载不到这个模块的错误提示。

情况就是这样 自动删除了 怎么找哦
我把键值改了 一关机又自己改回来了 好像是winlogon有关的。可能文件已经被感染，没找到清除方法

引用:

【prettykiddy的贴子】每次启动完毕后 此键自动被删除 （正常模式，安全模式不会被删除，这个是在安全模式下找到的）， 关机时自动又创建，看注册表记录，曾经winlogon创建了这个键值。后来不知道是怎么回事了。我将这个dll删除，现在一直有加载不到这个模块的错误提示。 情况就是这样 自动删除了 怎么找哦 我在安全模式下找到 删除了 关机再次启动 还是提示错误 我把键值改了 一关机又自己改回来了 好像是winlogon有关的。可能文件已经被感染，没找到清除方法 ………………

请下载SREng2 ，使用“智能扫描”，按下“扫描”按钮进行扫描，
扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告
日志文件内容复制-粘贴上来,,日志一次粘不完，分次粘完，请不要修改。

下载地址
http://gudugu.hits.io/SREng.zip
http://www.kztechs.com/sreng/sreng2.zip

请下载SREng2 ，使用“智能扫描”，按下“扫描”按钮进行扫描，
扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告
日志文件内容复制-粘贴上来,,日志一次粘不完，分次粘完，请不要修改。

下载地址
http://gudugu.hits.io/SREng.zip
http://www.kztechs.com/sreng/sreng2.zip

好像是QQ幻想的病毒

是家里的电脑 没带来。我把dll文件  键值 复制下来了
文件在
http://www.wood-son.com/temp/afoio.dll.rar
请解压缩分析。
虽然提示我加载不到模块 但没发现系统有什么异样。