在天极下载程序中毒了今天刚装的系统
郁闷死了，那位高手分析下？
冰刃无法运行了 在windows和system32下发现大量tmp文件
创建日期为20:38
貌似自动更新的文件也被替换掉了 瑞星墙当时闪了一下，估计被病毒关了，金山也出错了不过
日志还是上来了

SC.exe create resaenh BinPath= "%systemroot%\system32\resaenh.exe" type= own type= interact start= auto DisplayName= "Security Analyzer"
sc.exe description resaenh "Security Analyzer微软安全检测程序。如果此服务被终止，动态磁盘安全状态和系统配置信息会过时。如果此服务被禁用，计算机将处于危险状态操作系统可能会无法启动。"
SC.exe create serveraget BinPath= "%systemroot%\system32\serveraget.exe" type= own type= interact start= auto DisplayName= "serveraget"
sc.exe description serveraget "动态磁盘数据连接程序。如果此服务被终止，磁盘安全状态和系统磁盘配置信息会过时。如果此服务被禁用，计算机将处于危险状态操作系统可能会无法启动。"
sc stop CryptSvc
net stop CryptSvc
del %systemroot%\system32\drivers\kbdclass.sys

日志已上传

一、“灰鸽子变种679936”(Win32.Hack.Huigezi2007.679936) 威胁级别：★★

　　此木马是的主要威胁行为是它能协助黑客对用户电脑进行远程控制。它在用户系统中运行起来后，就会启动IE浏览器的进程，在后台悄悄地访问IP查询网站，获得用户电脑的IP信息，然后反向连接病毒作者指定的远程服务器(黑客控制端)。

　　连接成功后，此木马就监视用户的操作和网络访问情况，并等待黑客控制端发出的指令。利用该木马制造的后门，黑客可以对用户系统进行任何想要的控制。

　　该木马的文件被隐藏在%windows%目录下，名为systme.txt。它会被写入注册表，注册为服务启动。为蒙蔽用户，它给自己取的服务名为Protected Storag，服务描述为“提供对敏感数据(如私钥)的保护性存储”。习惯手动查杀的用户可对此留意。

　　当运行完成后，此木马就释放一个BAT文件，删除自己的原始文件。

这个病毒特别像我中的这个毒
碰巧有这两个服务
名称:    PolicyAgent
产品名称: Microsoft® Windows® Operating System
发行商:  Microsoft Corporation
版权所有: © Microsoft Corporation. All rights reserved.

命令行:  %SystemRoot%\system32\lsass.exe/IPSEC Services
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

名称:    ProtectedStorage
产品名称: Microsoft® Windows® Operating System
发行商:  Microsoft Corporation
版权所有: © Microsoft Corporation. All rights reserved.

命令行:  %SystemRoot%\system32\lsass.exe
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProtectedStorage

c:\windows\system32\serveraget.exe突然找不着了
剩下这两个

重新发下
刚才文件没法上来

已经将可疑文件上报了
再现扫描显示卡巴可以查到此毒
显是灰鸽子，等待瑞星解决