附件: SREngLOG.log (2009-5-26 17:56:40, 38.78 K)
该附件被下载次数 125

请大侠们帮我分析一下，出个对策，以下是日志

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

以下有问题/可疑

服务
[Heal Certificate Management / msnapa][Stopped/Auto Start]
  <C:\Program Files\Microsoft Office\smss.exe><N/A>

驱动程序[FXDrv32 / FXDrv32][Stopped/Manual Start]
  <\??\K:\FXDrv32.sys><N/A>
[PID: 2424 / Administrator][C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE]  [N/A, ]
    [C:\PROGRA~1\COMMON~1\Microsoft\krnln.fnr]  [, 1, 0, 0, 1]

Xdelbox
删除（建议去置顶帖找那个超级巡警暴力删除）
C:\Program Files\Microsoft Office\smss.exe
C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE

或参考这
http://baike.360.cn/4001973/1907678.html
7楼：
我也中了。桌面好几天不启动了。百度找到了个方法，我用了，已经解决了~~贴了分享
cthelper.exe是病毒程序。 cthelper.exe是创新Creative公司
Soundblaster声卡的程序。它是一个第三方的声卡相关插件/软件。
先用360清除恶意插件。如果没有清除的话就用下面的方法
c:\program files\realtek是这病毒的老巢，其中的smss.exe应该就是它的主程序，C:\program files\common files\下有个microsoft文件夹，这也是这病毒搞出来的，也要删掉。
怎样删呢？首先，到服务里把Shell Hardware Detection给停了，重启进安全模式，删掉realtek和microsoft这两个文件夹，common files下的CTHELPER.EXE、Ravstub.exe、com.run、krnln.fnr也删掉，然后打开注册表搜cthelper.exe，能搜到一个shell的键，键值里是explorer.exe cthelper.exe，把后面的cthelper.exe删掉只保留explorer.exe，然后就全部搞定了。

杀费尔和XDELBOX1.8杀完两个文件后，再用瑞星杀掉了病毒，以下是日志分析

日志没啥玩意
http://www.arswp.com/download.html
清理助手清理即可
瑞星再全盘扫描次

杀完毒后，每次开机还是有C:\Program Files\Microsoft Office\smss.exe要注册起动程序，我用瑞星阻止了，查找并无smss.exe文件，请问是否还有残留未清除，如何清除或设置？

去删除这服务项去。各种能看到服务项的软件都可以操作删除。例如卡卡助手或360什么的。
==================================
服务
[Heal Certificate Management / msnapa][Stopped/Auto Start]
  <C:\Program Files\Microsoft Office\smss.exe><(File is missing)>

问题已解决，谢谢！