断网 安全模式 打开SRENG 然后结束掉explorer.exe(以防万一而已) 然后用windows 任务管理器的运行 里面进行文件操作
在SRENG里面 分别删除这堆注册表项和对应的文件(如果没指明路径用windows的搜索功能)- -
(临时文件夹 都可以清掉了)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<2kbxgy4cjush><C:\DOCUME~1\NONO\LOCALS~1\Temp\winlog0n.exe> []
<ggy2h5j8h1zy><C:\DOCUME~1\NONO\LOCALS~1\Temp\Rav.exe> []
<7x1xwdhtisbf43><C:\DOCUME~1\NONO\LOCALS~1\Temp\explorei.exe> []
<9><C:\DOCUME~1\NONO\LOCALS~1\Temp\iexplorer.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmp> []
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> []
启动项目 -->服务-->Win32服务应用程序 删除下列服务
<C:\DOCUME~1\NONO\LOCALS~1\Temp\RAVWM.EXE><N/A>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
几个可以给你参考的帖子
http://hi.baidu.com/shizhen12009/blog/item/7fc497185a64bf0634fa4155.html
http://hi.baidu.com/loha/blog/item/f222cf131fd2d822dc54017f.html
我只在日志看到了 kvsc3 和 cmdbcs; 至于别的实在没在你日志里面看到....- - .. 所以估计你先用上面的办法也未必能清理干净
或者 你把msconfig上面的截图发一下或者重新用SRENG扫描下日志看看还有没有漏掉这些看看吧.- -
临时文件那个只不过是伪装而已..