瑞星查不出这个木马,360主程序也查不出,我下的360顽固查杀,查出了这个木马,杀了以后,它还存在

就是杀不掉,请各位帮帮我

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; TheWorld)

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
只清理高危险项目
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat


如还不能运行尝试该版本SRENG
http://bbs.ikaka.com/attachment.aspx?attachmentid=412527）
如2.6的能用，还是用2.6的,2.4的就免了

4.为了最大程度减少对病毒的误判，和对病毒准确定位和判断，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告



5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒区.已发帖请跟贴，勿另开新帖。
PS:
1.如想成功解决问题，请按照步骤严格操作，金山和SRENG报告一个也不能少,要同时上传
2.如都不能正常运行
应使用下列工具：http://bbs.ikaka.com/showtopic-8442813.aspx的44，45，46，47，49，50，51楼的工具扫描日志[/siez]

日志正在扫描中,我下了最新的SReng想看下启动项那里,点了就死了那里了,没有反映``只有强行关掉进程,请问,这是不是跟病毒有关系

死机了？
看看什么进程站得资源高

如实在不行
金山的报告也能看
要快呀

那DLL确实是病毒
楼主请去可疑文件交流区上传个

扫描到现在都没好,我换个金山试试

==============================================================
        金山清理专家系统诊断报告

该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================

诊断时间:            2008-09-15, 17:25
诊断平台:            Windows XP [5.1.2600] Service Pack 2
IE版本:              Internet Explorer V6.0.2180.2900
计算机物理内存:      2047(MB)
当前可用内存:        1537(MB)
硬盘总大小:          148(GB)
硬盘可用空间:        115(GB)
清理专家版本:        2008.08.12.553
恶意软件库版本:      2008.08.06.1
漏洞库版本:          2008.09.02.1




==============================================================
        常规启动项
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        [SoundMAX]            <; "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray>

        [NvMediaCenter]      <; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>


==============================================================
        启动文件夹位置
==============================================================

Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:            C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动

==============================================================
        系统服务
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

        [HidServ] [已禁用]            <%SystemRoot%\System32\hidserv.dll>


==============================================================
        驱动程序
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

        [00090786] [已启用]            <\??\C:\WINDOWS\system32\Drivers\00090786.sys>

        [004597bc] [已启用]            <\??\C:\WINDOWS\system32\Drivers\004597bc.sys>

        [00ec7572] [已启用]            <\??\C:\WINDOWS\system32\Drivers\00ec7572.sys>

        [EagleNT] [已启用]            <\??\C:\WINDOWS\system32\drivers\EagleNT.sys>

        [npkcrypt] [已启用]            <\??\C:\WINDOWS\system32\npkcrypt.sys>

        [npkycryp] [已启用]            <\??\C:\WINDOWS\system32\npkycryp.sys>


==============================================================
        其他安全区域
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

        [显示摇曳 CPL 扩展]        <deskpan.dll>

把MOVEF.DLL

重命名，重起后删除~~~

另外该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

        [HidServ] [已禁用]            <%SystemRoot%\System32\hidserv.dll>
这个服务为什么要禁止？

MOVEF.DLL这文件改成什么啊？

还有我关的是什么服务，反正不相关的启动我都关了

现在我下的最下的SReng启动一点就死机了``不知道怎么回事

操作前强烈要求先断网
1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm    的工具19或http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\Drivers\00090786.sys
C:\WINDOWS\system32\Drivers\004597bc.sys
C:\WINDOWS\system32\Drivers\004597bc.sys

SRENG-启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[00090786] [已启用]            <\??\C:\WINDOWS\system32\Drivers\00090786.sys>

        [004597bc] [已启用]            <\??\C:\WINDOWS\system32\Drivers\004597bc.sys>

        [00ec7572] [已启用]            <\??\C:\WINDOWS\system32\Drivers\004597bc.sys>

那DLL应该正常，金山作为安全性隐藏了

如觉得可疑
可疑文件交流区上传个文件

你的目的是删除这个DLL文件~

你重命名为什么都可以，重起后删除，是什么名字重要么


我觉得那个服务不该被禁止，呵呵~~~