最近5天左右,在打开网页15-30分钟之后,其中一个窗口即自动转到一个网站,网址为:
http://open.369ip.com/union2.htm  其他方面没有任何问题.例如我同时开5个或者10个IE窗口,也只会有其中一个在不固定时间后转向到该网页,而且可以用后退按纽回到正在浏览的页面.在注册表中搜索上述网址,查不到.试用了黄山IE修复,雅虎助手(3721),卡卡上网助手,没有任何办法,根本查不到.又试用了一个名为Microsoft AntiSpyware的软件(貌似微软出品的beta1),查到有3721和一个名为a.exe的东东,选择remove后它建议我reboot计算机.重启后再运行,什么也查不到.但是症状依旧.

下面是用hijackthis扫描的日志:

Logfile of HijackThis v1.99.1
Scan saved at 0:53:30, on 2006-7-8
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\msdtc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\LSASS.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\internat.exe
D:\计费中心\FeeCenter\ssp.exe
D:\计费中心\FeeCenter\NETSECURITY.EXE
D:\计费中心\FeeCenter\FEECENTER.EXE
C:\Program Files\GoldenSoft\NetRG\WinNT\Server\NetRGSvr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\rundll32.exe
E:\TOOLS\我的工具\hijackthis_1991\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v14.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINNT\DOWNLO~1\CnsHook.dll
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINNT\system32\kakatool.dll
O4 - HKLM\..\Run: [ToP] C:\WINNT\LSASS.exe
O4 - HKLM\..\Run: [helper.dll] C:\WINNT\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\TOOLS\聊天工具\qq\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - E:\TOOLS\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - E:\TOOLS\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\TOOLS\聊天工具\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\TOOLS\聊天工具\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\TOOLS\聊天工具\qq\SendMMS.htm
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS3\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe


请问哪些是可以修复的?IE自动转向问题应该如何防治?
小弟个人以为04中的1,2是可以修复的,对吗?还有,那个WINNT/LSASS.EXE应该是一个木马或者病毒,对吗?应该如何处理?以上和网页自动转向有没有什么关系?

恩,多谢楼上的,不过这个貌似偶已经解决了:
这是现在的日志:Logfile of HijackThis v1.99.1
Scan saved at 1:54:26, on 2006-7-8
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\msdtc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
E:\TOOLS\我的工具\hijackthis_1991\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v14.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINNT\system32\kakatool.dll
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\TOOLS\聊天工具\qq\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - E:\TOOLS\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - E:\TOOLS\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\TOOLS\聊天工具\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\TOOLS\聊天工具\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\TOOLS\聊天工具\qq\SendMMS.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS3\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

偶先用ICESWORAD终止进程,然后在SREng里面修正注册表的启动项及文件的关联,再用HIJACKTHIS修复,重启动电脑,再用以上软件和Microsoft AntiSpyware查杀,貌似期间3721又疯狂的蹦达了几下.不过再次重启动之后,检查,一切正常了.

现在唯一没弄明白的是那个网站自动转向是怎么回事,请达人指教.应该如何对付这种情况?

呃...楼上说的对.我现在再用HIJACKTHIS检查发现又出现了.等下再杀一次看看.另外,查杀以后怎么预防再次中招?还是不断自动转向到那个什么369弹窗联盟,应该怎么收拾它?现在对后一问题比较关心.毕竟前一问题已经有答案了.

小弟现在已经处理并且扫描过了.下面是HIJACKTHIS的日志:
Logfile of HijackThis v1.99.1
Scan saved at 3:41:55, on 2006-7-9
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\msdtc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
D:\计费中心\FeeCenter\ssp.exe
D:\计费中心\FeeCenter\NETSECURITY.EXE
D:\计费中心\FeeCenter\FEECENTER.EXE
C:\Program Files\GoldenSoft\NetRG\WinNT\Server\NetRGSvr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\TOOLS\我的工具\hijackthis_1991\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v14.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINNT\system32\kakatool.dll
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\TOOLS\聊天工具\qq\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - E:\TOOLS\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - E:\TOOLS\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\TOOLS\聊天工具\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\TOOLS\聊天工具\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\TOOLS\聊天工具\qq\SendMMS.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O17 - HKLM\System\CS3\Services\Tcpip\..\{5E9AB766-404A-4ECD-B5A4-91A613F01DE9}: NameServer = 61.128.128.67,61.128.128.68
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

这个是大大一直想要的sreng2日志:
2006-07-09,03:42:18

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows 2000 Server Service Pack 4 (Build 2195)
- 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <Internat.exe><internat.exe>  [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
    <run><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [Microsoft Corporation]
    <Userinit><C:\WINNT\system32\userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []

==================================
启动文件夹
服务
[Logical Disk Manager Administrative Service / dmadmin]
  <C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>

==================================
浏览器加载项
[ThunderIEHelper Class]
  {0005A87D-D626-4B3A-84F9-1D9571695F55} <C:\WINNT\system32\xunleibho_v14.dll, Thunder Networking Technologies,LTD>
[卡卡上网安全助手]
  {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} <C:\WINNT\system32\kakatool.dll, Beijing Rising Technology Co., Ltd.>
[&使用迅雷下载]
  <D:\Thunder\geturl.htm, N/A>
[&使用迅雷下载全部链接]
  <D:\Thunder\getallurl.htm, N/A>
[上传到QQ网络硬盘]
  <E:\TOOLS\聊天工具\qq\AddToNetDisk.htm, N/A>
[使用网际快车下载]
  <E:\TOOLS\FlashGet\jc_link.htm, N/A>
[使用网际快车下载全部链接]
  <E:\TOOLS\FlashGet\jc_all.htm, N/A>
[添加到QQ自定义面板]
  <E:\TOOLS\聊天工具\qq\AddPanel.htm, N/A>
[添加到QQ表情]
  <E:\TOOLS\聊天工具\qq\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
  <E:\TOOLS\聊天工具\qq\SendMMS.htm, N/A>

==================================
正在运行的进程
[PID: 160][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.00.2195.6601>
[PID: 184][\??\C:\WINNT\system32\csrss.exe]  <Microsoft Corporation><5.00.2195.6601>
[PID: 204][\??\C:\WINNT\system32\winlogon.exe]  <Microsoft Corporation><5.00.2195.6997>
[PID: 232][C:\WINNT\system32\services.exe]  <Microsoft Corporation><5.00.2195.7035>
    [C:\WINNT\system32\dmserver.dll]  <VERITAS Software Corp.><2195.6605.297.3>
[PID: 244][C:\WINNT\system32\lsass.exe]  <Microsoft Corporation><5.00.2195.7011>
[PID: 428][C:\WINNT\system32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 460][C:\WINNT\system32\spoolsv.exe]  <Microsoft Corporation><5.00.2195.7059>
[PID: 496][C:\WINNT\system32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 520][C:\WINNT\System32\llssrv.exe]  <Microsoft Corporation><5.00.2195.7021>
[PID: 616][C:\WINNT\system32\regsvc.exe]  <Microsoft Corporation><5.00.2195.6701>
[PID: 636][C:\WINNT\system32\MSTask.exe]  <Microsoft Corporation><4.71.2195.6972>
[PID: 768][C:\WINNT\system32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 788][C:\WINNT\system32\Dfssvc.exe]  <Microsoft Corporation><5.00.2195.6664>
[PID: 804][C:\WINNT\system32\msdtc.exe]  <Microsoft Corporation><1999.9.3421.3>
[PID: 1000][C:\WINNT\Explorer.EXE]  <Microsoft Corporation><5.00.3700.6690>
    [C:\WINNT\system32\xunleibho_v14.dll]  <Thunder Networking Technologies,LTD><4, 6, 0, 62>
[PID: 1024][C:\WINNT\system32\internat.exe]  <Microsoft Corporation><5.00.2920.0000>
[PID: 1012][D:\计费中心\FeeCenter\ssp.exe]  <N/A><N/A>
    [D:\计费中心\FeeCenter\commlib.dll]  <N/A><N/A>
    [D:\计费中心\FeeCenter\netcomm.dll]  <N/A><N/A>
[PID: 1052][D:\计费中心\FeeCenter\NETSECURITY.EXE]  <N/A><N/A>
    [C:\WINNT\system32\actskn43.ocx]  <><4, 3, 0, 0>
    [D:\计费中心\FeeCenter\CommLib.dll]  <N/A><N/A>
    [D:\计费中心\FeeCenter\NetComm.dll]  <N/A><N/A>
[PID: 1068][D:\计费中心\FeeCenter\FEECENTER.EXE]  <><>
    [D:\计费中心\FeeCenter\netcomm.dll]  <N/A><N/A>
    [D:\计费中心\FeeCenter\addown.dll]  <N/A><N/A>
    [D:\计费中心\FeeCenter\weblib.dll]  <N/A><N/A>
    [D:\计费中心\FeeCenter\commlib.dll]  <N/A><N/A>
    [C:\WINNT\system32\actskn43.ocx]  <><4, 3, 0, 0>
    [D:\计费中心\FeeCenter\CardIO.DLL]  <N/A><N/A>
    [D:\计费中心\FeeCenter\imessc.dll]  <N/A><N/A>
    [D:\计费中心\FeeCenter\MWIC_32.dll]  <N/A><N/A>
    [C:\WINNT\system32\Macromed\Flash\Flash8b.ocx]  <Macromedia, Inc.><8,0,24,0>
[PID: 644][C:\Program Files\GoldenSoft\NetRG\WinNT\Server\NetRGSvr.exe]  <><1, 0, 0, 1>
    [C:\Program Files\GoldenSoft\NetRG\WinNT\Server\CodeRes.dll]  <><1, 0, 0, 1>
    [C:\Program Files\GoldenSoft\NetRG\WinNT\Server\enh32.dll]  <><3, 0, 0, 0>
    [C:\Program Files\GoldenSoft\NetRG\WinNT\Server\gbm.dll]  <N/A><N/A>
    [C:\Program Files\GoldenSoft\NetRG\WinNT\Server\SimCom3.dll]  <台湾远志科技集团 南京远志资讯科技开发有限公司><1, 0, 1, 1222>
    [C:\Program Files\GoldenSoft\NetRG\WinNT\Server\LanFile.dll]  <YZRD.><1, 0, 0, 1>
    [C:\Program Files\GoldenSoft\NetRG\WinNT\Server\RGSvrRes.dll]  <><1, 0, 0, 1>
[PID: 1232][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  <Microsoft Corporation><6.00.2800.1106>
    [C:\WINNT\system32\kakatool.dll]  <Beijing Rising Technology Co., Ltd.><2, 0, 0, 9>
    [C:\WINNT\system32\xunleibho_v14.dll]  <Thunder Networking Technologies,LTD><4, 6, 0, 62>
    [C:\WINNT\system32\Macromed\Flash\Flash8b.ocx]  <Macromedia, Inc.><8,0,24,0>
[PID: 1340][E:\TOOLS\我的工具\sreng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINNT\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

引用:

【我无邪的贴子】C:\WINNT\LSASS.exe 这一个不好对付 看以下的帖子 http://forum.ikaka.com/topic.asp?board=28&artid=7828861 木马Trojan.Agent.awa的手工查杀流程： 2、结束木马进程C:\windows\LSASS.EXE。（请到www.27814939.ys168.com下载诺顿进程管理器终止C:\windows\LSASS.EXE的进程） 3、删除木马文件（见附图） 4、重启。清理注册表： 先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。（或到C:\WINDOWS找到regedit.exe，将其它改名为regedit.com） 展开：HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" 展开：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" 展开：HKEY_CLASSES_ROOT\ftp\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" 展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome" 展开HKEY_CLASSES_ROOT\.exe 删除WindowFiles 展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings 删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}" 展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Top 展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 删除wextract_cleanup0 ...........................

我在自己摸索中发现了大大在2楼贴出的帖子有一点小问题.这也是您给出的原帖里,那么多回贴者表示照猫画虎不成功的原因,如果有可能,建议修改原帖子.
最好首先把regedit.exe文件(位置在C:\WINNT下,WIN98好象不在这里,自己搜索下)和sreng.exe文件复制到桌面,并改后缀名为.bat
第一步和第二步没有问题.最好在使用ICESWORAD冰剑的时候设置为"禁止创建新进程."
第三步,附图明显是winxp系统.小弟系统是win2000,所以有区别(也就是回贴里很多人表示找不到那些需要删除的文件的原因)
我个人修复的时候,在C:\WINNT下才找到EXERT.EXE \  IO.SYS.BAK \ LSASS.EXE三个文件.
在C:\WINNT\SYSTEM32下才找到DXDIAG.COM \ MSCONFIG.COM \ REGEDIT.COM三个文件.
而INTEXPLORE和INTEXPLORE.COM两个文件需要在工具--文件夹选项--查看里面,将"隐藏受保护的操作系统文件(推荐)"前面的勾去掉,才能在相应文件夹下找到.(好象有好几个文件都是这样,如果找不到的话就要进行这一步操作)
在C:\WINNT\DEBUG下才找到DebugProgram.exe文件.

而如果之前已经删除了部分文件的朋友,会发现在C盘和D盘下多出两个以!开头的,好象叫!Sub什么的文件夹,这两个也需要删除.如果打开看会发现C盘那个里面正是INTEXPLORE和INTEXPLORE.COM,D盘则是autorun.inf和command.com(原贴里要求删除的几个文件)

第四步里,
先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）其实就是运行后点系统修复--文件关联,点全选,再点修复.

所有@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"等等的修改都有错误,应该把前四个需要修改的INTEXPLORE.com改为IEXPLORE.EXE,否则会出现桌面上的IE打不开,报告无法定位什么的.

以上完成以后,最好再重启动电脑.

现在等楼上大神的批复.