电脑盲向各位大师求助，瑞星已查杀的病毒有：Worm.Win32.DownLoad.jw    Packer.Win32.Agent.aa    Trojan.Win32.Agent.vmq    Trojan.DL.Win32.ReplaceWuauclt.i   
扫描日志在附件里，请大师们诊断，谢谢！

附件: SREngLOG.log (2008-11-8 0:37:41, 42.89 K)
该附件被下载次数 227

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

用解压工具WinRAR找下面这个文件，复制压缩一个发来
C:\WINDOWS\system32\drivers\xinstall.sys

你只有，用XDELBOX工具删除下面文件了：

XDELBOX工具下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=446806

按照内附说明图操作，将XDELBOX工具放在C盘根目录下，复制粘贴下面文件操作删除：

C:\2631b1fc6dc0b5c2.dat
C:\3e88a1b07d0b5fe9.dat
C:\4698a9982ec250f6.dat
C:\46bf8194d763743e.dat
C:\5613fa085518810f.dat
C:\65116314c2fce499.dat
C:\67a4609449b32759.dat
C:\6fb4687c1355615e.dat
C:\740ecc2052d05874.dat
C:\b36c649c8ffe69aa.dat
C:\bc4803e017c20558.dat
C:\c6eb09481d554e04.dat
C:\d3fa3434294fd057.dat
C:\fc4a5bbce6a35376.dat
C:\Temp\~56.tmp
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\Temp\PCIUtil.sys
C:\Program Files\Common Files\PushWare\cpush0.dll
C:\Program Files\Common Files\PushWare\cpush0.dll
C:\WINDOWS\Poss\pbhealth.dll
C:\WINDOWS\system32\akjsckaq.dll
C:\WINDOWS\system32\apzhctde.dll
C:\WINDOWS\system32\erxybloe.dll
C:\WINDOWS\system32\lassaplo.dll
C:\WINDOWS\system32\lijzclit.dll
C:\WINDOWS\system32\mnmhgsrv.dll
C:\WINDOWS\system32\nhmxcjkl.dll
C:\WINDOWS\system32\oswxdttb.dll
C:\WINDOWS\system32\pqzfajke.dll
C:\WINDOWS\system32\rijxbkin.dll
C:\WINDOWS\system32\tisqatyu.dll
C:\WINDOWS\system32\tysqakol.dll
C:\WINDOWS\system32\yzztjmsn.dll
C:\WINDOWS\system32\yzztkmsn.dll
C:\WINDOWS\system32\winlib .dll
C:\Autorun.inf
C:\HBDP.PIF
D:\Autorun.inf
D:\HBDP.PIF

重启电脑自动运行完毕进入系统后，再立即继续下面操作。
————————————————————————————————————
运行下载的删除映像劫持工具,清除检测到的所有映像劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=429561
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[2631b1fc6dc0b5c2 / 2631b1fc6dc0b5c2][Stopped/Manual Start]
  <\??\C:\2631b1fc6dc0b5c2.dat><N/A>

[3e88a1b07d0b5fe9 / 3e88a1b07d0b5fe9][Stopped/Manual Start]
  <\??\C:\3e88a1b07d0b5fe9.dat><N/A>

[4698a9982ec250f6 / 4698a9982ec250f6][Stopped/Manual Start]
  <\??\C:\4698a9982ec250f6.dat><N/A>

[46bf8194d763743e / 46bf8194d763743e][Stopped/Manual Start]
  <\??\C:\46bf8194d763743e.dat><N/A>

[5613fa085518810f / 5613fa085518810f][Stopped/Manual Start]
  <\??\C:\5613fa085518810f.dat><N/A>

[65116314c2fce499 / 65116314c2fce499][Stopped/Manual Start]
  <\??\C:\65116314c2fce499.dat><N/A>

[67a4609449b32759 / 67a4609449b32759][Stopped/Manual Start]
  <\??\C:\67a4609449b32759.dat><N/A>

[6fb4687c1355615e / 6fb4687c1355615e][Stopped/Manual Start]
  <\??\C:\6fb4687c1355615e.dat><N/A>

[740ecc2052d05874 / 740ecc2052d05874][Stopped/Manual Start]
  <\??\C:\740ecc2052d05874.dat><N/A>

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

[b36c649c8ffe69aa / b36c649c8ffe69aa][Stopped/Manual Start]
  <\??\C:\b36c649c8ffe69aa.dat><N/A>

[bc4803e017c20558 / bc4803e017c20558][Stopped/Manual Start]
  <\??\C:\bc4803e017c20558.dat><N/A>

[c6eb09481d554e04 / c6eb09481d554e04][Stopped/Manual Start]
  <\??\C:\c6eb09481d554e04.dat><N/A>

[d3fa3434294fd057 / d3fa3434294fd057][Stopped/Manual Start]
  <\??\C:\d3fa3434294fd057.dat><N/A>

[fc4a5bbce6a35376 / fc4a5bbce6a35376][Stopped/Manual Start]
  <\??\C:\fc4a5bbce6a35376.dat><N/A>

[sys_hkt / sys_hkt][Stopped/Manual Start]
  <\??\C:\Temp\~56.tmp><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush0.dll, >
[]
  {18093456-9012-4568-9076-908765467181} <C:\WINDOWS\system32\tisqatyu.dll, N/A>
[]
  {20909876-4567-3908-4056-909834565102} <C:\WINDOWS\system32\erxybloe.dll, N/A>
[]
  {25FD6584-698F-BCD2-602C-698745210352} <C:\WINDOWS\system32\rijxbkin.dll, N/A>
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Poss\pbhealth.dll, N/A>
[]
  {2B69874A-C58C-458D-69F0-698F874E41B2} <C:\WINDOWS\system32\lassaplo.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A>
[]
  {3C954872-1230-6541-9548-6541025884C3} <C:\WINDOWS\system32\lijzclit.dll, N/A>
[]
  {3D698451-2015-6358-9871-2015987452D3} <C:\WINDOWS\system32\apzhctde.dll, N/A>
[]
  {43512378-9874-5641-1025-985420368734} <C:\WINDOWS\system32\oswxdttb.dll, N/A>
[]
  {4D098345-6785-1098-5413-678067AE03D4} <C:\WINDOWS\system32\tysqakol.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
  {A490415F-65F8-B5C5-D8BA-9405FB12054A} <C:\WINDOWS\system32\yzztjmsn.dll, N/A>
[]
  {B490415F-65F8-B5C5-D8BA-9405FB12054B} <C:\WINDOWS\system32\yzztkmsn.dll, N/A>
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush0.dll, >
[]
  {18093456-9012-4568-9076-908765467181} <C:\WINDOWS\system32\tisqatyu.dll, N/A>
[]
  {20909876-4567-3908-4056-909834565102} <C:\WINDOWS\system32\erxybloe.dll, N/A>
[]
  {25FD6584-698F-BCD2-602C-698745210352} <C:\WINDOWS\system32\rijxbkin.dll, N/A>
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Poss\pbhealth.dll, N/A>
[]
  {2B69874A-C58C-458D-69F0-698F874E41B2} <C:\WINDOWS\system32\lassaplo.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {3A908760-8000-4000-A000-9000322145A3} <C:\WINDOWS\system32\akjsckaq.dll, N/A>
[]
  {3C954872-1230-6541-9548-6541025884C3} <C:\WINDOWS\system32\lijzclit.dll, N/A>
[]
  {3D698451-2015-6358-9871-2015987452D3} <C:\WINDOWS\system32\apzhctde.dll, N/A>
[]
  {43512378-9874-5641-1025-985420368734} <C:\WINDOWS\system32\oswxdttb.dll, N/A>
[]
  {4D098345-6785-1098-5413-678067AE03D4} <C:\WINDOWS\system32\tysqakol.dll, N/A>
[]
  {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} <C:\WINDOWS\system32\pqzfajke.dll, N/A>
[]
  {7C8D1401-A58D-A81C-CD24-A5915C4517C7} <C:\WINDOWS\system32\mnmhgsrv.dll, N/A>
[]
  {A490415F-65F8-B5C5-D8BA-9405FB12054A} <C:\WINDOWS\system32\yzztjmsn.dll, N/A>
[]
  {B490415F-65F8-B5C5-D8BA-9405FB12054B} <C:\WINDOWS\system32\yzztkmsn.dll, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

记得打打系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

天月版主很勤劳啊！动作还很快

谢谢天月来了，文件已经压缩在附件里，辛苦您！
因为我是电脑盲，接下来得慢慢按您的指导一步一步操作，汗。。。
再次感谢大伙的关注和帮助，谢谢！

附件: xinstall.rar (2008-11-8 17:17:10, 3.54 K)
该附件被下载次数 162

文件发到可疑文件交流区

上传新日志

aaccbbdd ：请问是把4楼的压缩文件和新日志发到可疑文件交流区吗？

文件发到可疑文件交流区

这里发日志


为了高效解决问题，请配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

清理后的最新日志，再辛苦大师们，感谢！

附件: SREngLOG.log (2008-11-8 18:48:11, 36.04 K)
该附件被下载次数 168

没什么了

附件清理下临时文件

建议使用卡卡上网助手打全系统补丁

谢谢！刚又清理过一遍了。
再请教，在扫描新日志后我再运行了SRENG，出现了两个问题：
1) 启动项目——注册表  弹出一个警告提示: 注册表值AppInit_DLLS被修改为非正常值
2) 右下角有个入口点错误的提示
请问这些需要进行其他操作吗？