我昨天中了木马群,按照他们的方式杀了又杀,搞了又搞,崩溃了,还是一样不行,瑞星等杀毒工具一样完蛋.病毒依旧存在.上不起网.请天月帮我看下日记.帮我解决下.

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

用附件的XDELBOX删除文件
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\zefdst.dll
C:\WINDOWS\system32\midimaptl.dll
C:\WINDOWS\system32\midimapzx.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\midimapwl.dll
C:\WINDOWS\system32\rfdswc.dll
C:\WINDOWS\system32\midimapgj.dll
C:\WINDOWS\system32\cedafb.dll
C:\WINDOWS\system32\zdesfx.dll
C:\WINDOWS\system32\midimapqn3.dll
C:\WINDOWS\system32\midimapjr.dll
C:\WINDOWS\system32\ismhasrv.exe
C:\WINDOWS\system32\siwdaapi.exe
C:\WINDOWS\system32\axmsawin.exe
C:\WINDOWS\system32\ismhasrv.exe
C:\WINDOWS\system32\pldhadwd.exe
C:\WINDOWS\system32\zxcsahlp.exe
C:\WINDOWS\system32\jbhxabyt.exe
C:\WINDOWS\system32\lpsgajba.exe
C:\WINDOWS\system32\lojxadwd.exe
C:\WINDOWS\system32\lpmxajkl.exe
C:\WINDOWS\system32\pldhadwd.exe
C:\WINDOWS\system32\simyaapi.exe
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\explorer.exe
C:\WINDOWS\system32\midimapjr.dll
C:\WINDOWS\system32\midimapqn3.dll
C:\WINDOWS\system32\midimapgj.dll
C:\WINDOWS\system32\midimapwl.dll
C:\WINDOWS\system32\midimapzx.dll
C:\WINDOWS\system32\midimaptl.dll
C:\WINDOWS\system32\nhmxcjkl.dll

复制他们，从剪贴板导入，点上抑制再生，右键点击要删除的文件列表，选择立即重起删除

重起以后进入XDELBOX工具，执行删除~

删除过后，打开SRENG

注册表中删除
    <KVP><C:\WINDOWS\system32\drivers\svchost.exe>  []
    <{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll>  []
    <{7C8D1401-A58D-A81C-CD24-A5915C4517C7}><C:\WINDOWS\system32\mnmhgsrv.dll>  []
    <{55694105-5108-9405-3695-954187462155}><C:\WINDOWS\system32\mpwdeapi.dll>  []
    <{28EB3777-3E23-4E72-8449-A992D09D24C3}><C:\WINDOWS\system32\zefdst.dll>  []
    <{8AD0F1B1-990D-4F52-A33D-2837E43CEF58}><C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys>  []
    <{4F4F0064-71E0-4f0d-0017-708476C7815F}><C:\WINDOWS\system32\midimaptl.dll>  []
    <{6A041F13-A111-12A3-B0CF-F99818AA68A6}><C:\WINDOWS\system32\zxmscwin.dll>  []
    <{4C648541-1025-9650-9057-6541258720C4}><C:\WINDOWS\system32\mndhddwd.dll>  []
    <{4F4F0064-71E0-4f0d-0005-708476C7815F}><C:\WINDOWS\system32\midimapzx.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{4F4F0064-71E0-4f0d-0004-708476C7815F}><C:\WINDOWS\system32\midimapwl.dll>  []
    <{35671234-7890-ABCD-CDEF-567801237653}><C:\WINDOWS\system32\yxcschlp.dll>  []
    <{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll>  []
    <{4F4F0064-71E0-4f0d-0003-708476C7815F}><C:\WINDOWS\system32\midimapgj.dll>  [Microsoft Corporation]
    <{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}><C:\WINDOWS\system32\oohxdbyt.dll>  []
    <{5FD45A54-9875-698F-E56E-65102358FDF5}><C:\WINDOWS\system32\apsgejba.dll>  []
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\WINDOWS\system32\cedafb.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zdesfx.dll>  []
    <{54FAE856-AD58-20CB-A025-CD4895FA6E45}><C:\WINDOWS\system32\pjjxedwd.dll>  []
    <{4F4F0064-71E0-4f0d-0022-708476C7815F}><C:\WINDOWS\system32\midimapqn3.dll>  []
    <{4F4F0064-71E0-4f0d-0012-708476C7815F}><C:\WINDOWS\system32\midimapjr.dll>  []
    <{37AC9076-C898-B098-D098-A18319080973}><C:\WINDOWS\system32\nhmxcjkl.dll>  []
    <{4629FF4F-ACDB-5C90-A098-FACB3456A264}><C:\WINDOWS\system32\mpmydapi.dll>  []
    <midimaptl><C:\WINDOWS\system32\midimaptl.dll>  []
    <midimapzx><C:\WINDOWS\system32\midimapzx.dll>  []
    <midimapwl><C:\WINDOWS\system32\midimapwl.dll>  []
    <midimapgj><C:\WINDOWS\system32\midimapgj.dll>  [Microsoft Corporation]
    <midimapqn3><C:\WINDOWS\system32\midimapqn3.dll>  []
    <midimapjr><C:\WINDOWS\system32\midimapjr.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
    <IFEO[360safe.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
    <IFEO[360safebox.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
    <IFEO[360tray.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
    <IFEO[avp.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
    <IFEO[CCenter.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]
    <IFEO[Rav.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe]
    <IFEO[RavMon.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe]
    <IFEO[RavMonD.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe]
    <IFEO[RavStub.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]
    <IFEO[RavTask.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe]
    <IFEO[rfwcfg.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe]
    <IFEO[rfwmain.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe]
    <IFEO[rfwProxy.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe]
    <IFEO[rfwsrv.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.exe]
    <IFEO[rfwstub.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]
    <IFEO[runiep.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe]
    <IFEO[safeboxTray.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe]
    <IFEO[SmartUp.exe]><TASKMAN.EXE>  [(Verified)Microsoft Windows Publisher]

把[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><nhmxcjkl.dll>  []设置为空


删除
启动文件夹
[explorer]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe -->  [N/A]><N>

删除
浏览器加载项
[]
  {35671234-7890-ABCD-CDEF-567801237653} <C:\WINDOWS\system32\yxcschlp.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {4629FF4F-ACDB-5C90-A098-FACB3456A264} <C:\WINDOWS\system32\mpmydapi.dll, N/A>
[]
  {4C648541-1025-9650-9057-6541258720C4} <C:\WINDOWS\system32\mndhddwd.dll, N/A>
[]
  {54FAE856-AD58-20CB-A025-CD4895FA6E45} <C:\WINDOWS\system32\pjjxedwd.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5FD45A54-9875-698F-E56E-65102358FDF5} <C:\WINDOWS\system32\apsgejba.dll, N/A>
[]
  {6A041F13-A111-12A3-B0CF-F99818AA68A6} <C:\WINDOWS\system32\zxmscwin.dll, N/A>
[]
  {7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
  {8AD0F1B1-990D-4F52-A33D-2837E43CEF58} <C:\Program Files\Internet Explorer\PLUGINS\DosSys08.Sys, N/A>
  {35671234-7890-ABCD-CDEF-567801237653} <C:\WINDOWS\system32\yxcschlp.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {4629FF4F-ACDB-5C90-A098-FACB3456A264} <C:\WINDOWS\system32\mpmydapi.dll, N/A>
[]
  {4C648541-1025-9650-9057-6541258720C4} <C:\WINDOWS\system32\mndhddwd.dll, N/A>
[]
  {54FAE856-AD58-20CB-A025-CD4895FA6E45} <C:\WINDOWS\system32\pjjxedwd.dll, N/A>
[]
  {55694105-5108-9405-3695-954187462155} <C:\WINDOWS\system32\mpwdeapi.dll, N/A>
[]
  {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} <C:\WINDOWS\system32\oohxdbyt.dll, N/A>
[]
  {5FD45A54-9875-698F-E56E-65102358FDF5} <C:\WINDOWS\system32\apsgejba.dll, N/A>




再用附件2的工具覆盖下系统文件

按照你的方法做了，但是还有几点问题：
1：有几个文件不能放进XDELBOX，被告之未发现文件
2：最后次重新启动后，瑞星依然无法正常工作，防御没打开，无法查杀病毒（发现病毒时（不处理）），无法修改，无法更新和修复。
3：打开论坛网页，被引导到其他地方。


斑竹，我机器上很多重要的信息，无法转移和备份，麻烦斑竹给我个详细的清理计划，帮帮我啊。我求你们了


我再发LOG日记，请再次帮我查查，给个杀毒方案，谢谢了

我查看了注册表，发现那些文件又有了，我晕啊，我删除了啊

他要你删的项目

你怎一个都没去删呢？？？

整个一个文件都没删除

出于什么原因你不去删除文件呢？？

文件不是一个一个添加的。

是直接打开Xdelbox，直接在下面大窗口的空白处，使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除”

为什么喜欢去一个一个添加呢？？

不累么？

不知道你是否没按日不懂版主说的做了没？删除文件时是否选了抑制再生？如果选了那么那些文件应该不会再有了，怎么你的电脑里面那些文件还有好多都存在？其实看你的情况应该用金山的AV专杀可以轻松搞定。建议去下载一个
http://www.duba.net/zhuansha/
强烈要求断网杀毒。杀过一次后进安全模式再杀一次。最后再用安全工具清理一下是否还有流氓软件。

日志显示系统时间年份严重异常：2000-06-12,10:18:49

注意，下面所有操作应该先彻底做好所有需要的准备工作后，断网操作。否则可能不能成功。

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\system32\drivers\svchost.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe

不论删除结果如何立即重启电脑，然后：

建议我签名处木马群清理

清理完再去我签名处整个2.6版的SRENG日志发来，打扫残余。

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

如果费尔不能运行。

就尝试这二个工具删除操作：

这里下载TFiles 1.0 顽固木马病毒专用删除工具
http://www.fileden.com/files/2008/1/20/1709216/TFiles.rar
操作说明：
http://hi.baidu.com/peaset/blog/item/e2f7237ae34b2ce92f73b397.html

这里下载360文件粉碎工具，删除那些文件。勾选“阻止被删除文件再次生成”删除。
http://www.360.cn/down/soft_down12.html