the computer is being attack又开始漂了，按上次的办法这次杀不了，日志扫描如下：

附件: SREngLOG.log (2008-8-6 22:33:56, 23.25 K)
该附件被下载次数 278

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)

用xdelbox删除以下文件
下载地址： http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0 XDELBOX1.7支持奥运版
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，勾选抑制再生
导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
c:\windows\system32\dllcache\default.exe
c:\windows\system32\drivers\drivers.cab.exe
c:\windows\fonts\fonts.exe
c:\windows\media\rndll32.pif
c:\windows\pchealth\helpctr\binaries\helphost.com
c:\windows\fonts\tskmgr.exe


sreng->启动项目-》注册表，删除
<><C:\WINDOWS\system32\dllcache\Default.exe>  []
<><C:\WINDOWS\system\KEYBOARD.exe>  []
<><C:\WINDOWS\system32\dllcache\Default.exe>  []
<sys><C:\WINDOWS\Fonts\Fonts.exe>  []
<IFEO[auto.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
<IFEO[autorun.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
<IFEO[autoruns.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
<IFEO[boot.exe]><C:\WINDOWS\Fonts\fonts.exe>  []
<IFEO[ctfmon.exe]><C:\WINDOWS\Fonts\Fonts.exe>  []
<IFEO[msconfig.exe]><C:\WINDOWS\Media\rndll32.pif>  []
<IFEO[ProcessManager.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []
<IFEO[procexp.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []
<IFEO[rundll32.exe]><C:\WINDOWS\Fonts\Fonts.exe>  []
<IFEO[taskmgr.exe]><C:\WINDOWS\Fonts\tskmgr.exe>  []
<SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []
用附件清楚临时文件夹

操作过程中不要双击任何系统盘
1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\autorun.inf
C:\ms-dos.exe
D:\autorun.inf
D:\ms-dos.exe
D:\autorun.inf
D:\ms-dos.exe
E:\autorun.inf
E:\autorun.inf
F:\ms-dos.exe
F:\ms-dos.exe
C:\WINDOWS\pchealth\Global.exe
c:\windows\system32\dllcache\default.exe
c:\windows\system\keyboard.exe
c:\windows\fonts\fonts.exe
c:\windows\pchealth\helpctr\binaries\helphost.com
c:\windows\system32\drivers\drivers.cab.exe
c:\windows\media\rndll32.pif
c:\windows\fonts\tskmgr.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[]    <C:\WINDOWS\system32\dllcache\Default.exe>
[]    <C:\WINDOWS\system\KEYBOARD.exe>
[]    <C:\WINDOWS\system32\dllcache\Default.exe>
[sys]    <C:\WINDOWS\Fonts\Fonts.exe>
[SCRNSAVE.EXE]    <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[IFEO[autorun.exe]]    <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[autoruns.exe]]    <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[boot.exe]]    <C:\WINDOWS\Fonts\fonts.exe>
[IFEO[ctfmon.exe]]    <C:\WINDOWS\Fonts\Fonts.exe>
[IFEO[msconfig.exe]]    <C:\WINDOWS\Media\rndll32.pif>
[IFEO[ProcessManager.exe]]    <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[IFEO[procexp.exe]]    <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[IFEO[rundll32.exe]]    <C:\WINDOWS\Fonts\Fonts.exe>
[IFEO[taskmgr.exe]]    <C:\WINDOWS\Fonts\tskmgr.exe>
[IFEO[auto.exe]]    <C:\WINDOWS\system32\drivers\drivers.cab.exe>

工具sreng->系统修复->文件关联，全选，修复

楼主请注意了

如果按照所给路径找不到文件，可能是隐藏文件无法显示所致，将显示隐藏修复那个附件导入注册表即可

按照3楼的第一步做完之后，先用映像劫持那个附件修复一下

另外，sreng中这一项
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []
不要点删除，选择编辑将
<C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>编辑为C:\WINDOWS\system32\logon.scr         
将屏保改为默认的

最后下载 windows清理助手清理一遍，并升级杀毒软件全盘扫描一次
http://www.arswp.com/download/arswp2/arswp2.zip

这个病毒是通过u盘自动播放传播的，可以下载一个卡卡助手免疫u盘病毒