各位高手，小弟前段时间瑞星无法正常升级，提示：“网络连接失败，请正确设置网络配置后重试”
瑞星主页也打不开，但其他网站正常上。后来得高人指点暂时关闭dns client服务，升级后再开启。
详见http://zhidao.ikaka.com/Aspx/Html/StaticHtml/302/302317.html
但是每次重启后不能升级的问题还存在。并且每次开机后都能查出这个病毒：
Hack.Exploit.Win32.MS08-067.eu.txt
病毒来源：svchost.exe>>C:\WINDOWS\system32
后来按照        http://zhidao.ikaka.com/Aspx/Html/StaticHtml/302/302452.html这位大哥的提示：
删除病毒注册表键值，关键的一步（注意，对注册表进行操作有一定的风险性，为避免出现更严重的问题，请先备份好注册表）： regedit--选中HKEY_LOAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 右侧的详细信息中双击“netsvcs”，滚动到列表最底端有个随机命名的服务，如：gzqmiijz，记下名字，删除此行，并将列表最后一行留空。
由于对注册表不熟悉不敢乱搞，我只按第6步双击“netsvcs”后列表最底端有个随机命名的服务“ogzwz”，我删除了此行并将最后一行留空。重启后杀毒没报警，瑞星也能正常升级。但是注册表里含“ogzwz”的键值至少还有6个，有的删不掉。用360导出的报告显示如下：
各位高手：
非常感谢您留心我这份系统诊断报告，小菜鸟十万火急等待您的帮助！
该诊断报告由360安全卫士提供 http://www.360.cn
诊断时间: 2009-03-04  21:13:55
诊断平台: Microsoft Windows XP  Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:1022.42MB - 当前可用内存:626.80MB
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.sohu.com/
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.google.com
R0 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.google.com/ie
R1 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.google.com/ie
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Use Search Asst=no
O4 - 未知 - HKLM\..\Run: [amd_dc_opt] [AMD Dual-Core Optimizer] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - 未知 - HKLM\..\RunOnce: [KKDelay] [RunOnce Application] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O8 - 未知 - Extra context menu item: 添加到QQ表情 - D:\Program Files\QQ2007\AddEmotion.htm
O18 - 未知 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - 未知 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - 未知 - AppInit DLLs: kmon*dll
O21 - 未知 - Protocol Icons: Software\Microsoft\Internet Explorer\View Source Editor\Editor Name - c:\windows\notepad.exe
O23 - 未知 - Service: ogzwz [pdbqsuew] -  - (not running)

望各位前辈大哥千万帮帮小弟，不胜感激！！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

把那几个含“ogzwz”的注册表项的完整注册表路径，以及注册表值项值说一下……

点击下载sreng

解压sreng2.zip-->打开SREngLdr.EXE-->勾选  智能扫描-->扫描-->保存报告  保存到桌面
将 SREngLOG.log 中内容完整的复制粘贴到论坛上来(快捷提示：ctrl+a全选，ctrl+c复制,ctrl+v粘贴)，不要修改,日志太长请用附件上传.
如无法运行，请重命名文件夹名和文件名，如abc.exe/abc.com/abc.bat/abc.scr/abc.pif等
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

项名称:            HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OGZWZ
类别名:        <无类别>
最近写入时间:    2009-3-1 - 23:22
值  0
  名称:            NextInstance
  类型:            REG_DWORD
  数据:            0x1

项名称:            HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OGZWZ\0000
类别名:        <无类别>
最近写入时间:    2009-3-2 - 22:43
值  0
  名称:            Service
  类型:            REG_SZ
  数据:            ogzwz
值  1
  名称:            Legacy
  类型:            REG_DWORD
  数据:            0x1
值  2
  名称:            ConfigFlags
  类型:            REG_DWORD
  数据:            0x0
值  3
  名称:            Class
  类型:            REG_SZ
  数据:            LegacyDriver
值  4
  名称:            ClassGUID
  类型:            REG_SZ
  数据:            {8ECC055D-047F-11D1-A537-0000F8753ED1}
值  5
  名称:            DeviceDesc
  类型:            REG_SZ
  数据:            pdbqsuew

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ogzwz

项名称:            HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OGZWZ
类别名:        <无类别>
最近写入时间:    2009-3-1 - 23:22
值  0
  名称:            NextInstance
  类型:            REG_DWORD
  数据:            0x1

项名称:            HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OGZWZ\0000
类别名:        <无类别>
最近写入时间:    2009-3-2 - 22:43
值  0
  名称:            Service
  类型:            REG_SZ
  数据:            ogzwz
值  1
  名称:            Legacy
  类型:            REG_DWORD
  数据:            0x1
值  2
  名称:            ConfigFlags
  类型:            REG_DWORD
  数据:            0x0
值  3
  名称:            Class
  类型:            REG_SZ
  数据:            LegacyDriver
值  4
  名称:            ClassGUID
  类型:            REG_SZ
  数据:            {8ECC055D-047F-11D1-A537-0000F8753ED1}
值  5
  名称:            DeviceDesc
  类型:            REG_SZ
  数据:            pdbqsuew

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ogzwz

项名称:            HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OGZWZ
类别名:        <无类别>
最近写入时间:    2009-3-1 - 23:22
值  0
  名称:            NextInstance
  类型:            REG_DWORD
  数据:            0x1

项名称:            HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OGZWZ\0000
类别名:        <无类别>
最近写入时间:    2009-3-2 - 22:43
值  0
  名称:            Service
  类型:            REG_SZ
  数据:            ogzwz
值  1
  名称:            Legacy
  类型:            REG_DWORD
  数据:            0x1
值  2
  名称:            ConfigFlags
  类型:            REG_DWORD
  数据:            0x0
值  3
  名称:            Class
  类型:            REG_SZ
  数据:            LegacyDriver
值  4
  名称:            ClassGUID
  类型:            REG_SZ
  数据:            {8ECC055D-047F-11D1-A537-0000F8753ED1}
值  5
  名称:            DeviceDesc
  类型:            REG_SZ
  数据:            pdbqsuew

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ogzwz
就这6项。。。

日志太长……

附件: SREngLOG.log (2009-3-5 20:01:08, 58.63 K)
该附件被下载次数 198

谢谢，帮小弟分析一下！！

sreng 没能扫出那个服务，360还扫描出来了。。。
  运行regedit，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ogzwz，看能不能看到ogzwz的详细信息，主要是对应的映像文件，顺便右键看下其权限什么样的。
如看不到它的详细信息，用IceSword122cn.rar里的注册表展开查看它的映像文件，比如XX.sys等。之后用冰刃里的文件里删除那个文件，然后继续用冰刃删除注册表里关于OGZWZ的6个键。


另外就是C:\WINDOWS  \ tasks 里At1.job是什么任务？没用的话删除。

现在又多了一个……疯了！
项名称:            HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
类别名:        <无类别>
最近写入时间:    2009-3-5 - 19:55
值  0
  名称:            View
  类型:            REG_BINARY
  数据:           
00000000  2c 00 00 00 02 00 00 00 - 03 00 00 00 00 83 ff ff  ,.............ÿÿ
00000010  00 83 ff ff ff ff ff ff - ff ff ff ff e3 00 00 00  ..ÿÿÿÿÿÿÿÿÿÿã...
00000020  11 00 00 00 e3 03 00 00 - 25 02 00 00 c7 01 00 00  ....ã...%...Ç...
00000030  79 00 00 00 63 00 00 00 - 67 01 00 00 01 00 00 00  y...c...g.......

值  1
  名称:            FindFlags
  类型:            REG_DWORD
  数据:            0xe
值  2
  名称:            LastKey
  类型:            REG_SZ
  数据:            我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ogzwz

那个服务还在，把6L的先操作下，一定要找到那个映像文件。

还有……
项名称:            HKEY_USERS\S-1-5-21-1801674531-842925246-1957994488-500\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
类别名:        <无类别>
最近写入时间:    2009-3-5 - 19:55
值  0
  名称:            View
  类型:            REG_BINARY
  数据:           
00000000  2c 00 00 00 02 00 00 00 - 03 00 00 00 00 83 ff ff  ,.............ÿÿ
00000010  00 83 ff ff ff ff ff ff - ff ff ff ff e3 00 00 00  ..ÿÿÿÿÿÿÿÿÿÿã...
00000020  11 00 00 00 e3 03 00 00 - 25 02 00 00 c7 01 00 00  ....ã...%...Ç...
00000030  79 00 00 00 63 00 00 00 - 67 01 00 00 01 00 00 00  y...c...g.......

值  1
  名称:            FindFlags
  类型:            REG_DWORD
  数据:            0xe
值  2
  名称:            LastKey
  类型:            REG_SZ
  数据:            我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ogzwz

展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ogzwz
看不到详细信息，权限显示：用户名称SYSTEM，特别的权限 允许，其他无。映像文件没看到……
谢谢高手指点，我再试试。