好像中了灰鸽子

周杰伦

看来的确难办了，瑞星也有鸽子专杀，你可以再试试看

jackeylau

瑞星也没发现

周杰伦

我把这贴转移到反病毒区，让高手看看你中的是不是灰鸽子吧

ngh55

下面的服务很可疑
[bkgkku / bkgkku][Stopped/Auto Start]
  %SystemRoot%\System32\bkgkku.dll>

[ldfiwg / ldfiwg][Stopped/Auto Start]
  %SystemRoot%\System32\ldfiwg.dll>

[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]
  
[Logical Disk  / Logical Disk][Running/Auto Start]
  <C:\WINDOWS\G_Server1.23><N/A>


  
驱动

[sptd / sptd][Running/Boot Start]
  <\SystemRoot\System32\Drivers\sptd.sys>
[ydfiwgdf / ydfiwgdf][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\ldfiwg.sys>
[yhiznnrn / yhiznnrn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\ehiznn.sys>
[ykgkkuhm / ykgkkuhm][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\bkgkku.sys>
可能是DLL注入svchost.exe。

HOSTS 文件用记事本打开，只保留
127.0.0.1       localhost
下面的全部删除，可在属性设置为只读就不会再有这些乱七八糟的网站了。
到http://www.microsoft.com/technet ... spx?wt.svl=featured
下载        Autoruns、Process Explorer ，Autoruns可以显示、管理所有随机启动，可先把服务、驱动中的上面项前面的勾去掉，关闭随机启动，重启后就能删除。Process Explorer 的system 可显示现运行中的驱动，各进程加载的DLL（公司名），一些不明的DLL一目了然。

最好装个TU2007 ，它的注册表编辑器的搜索功能很强，找到注册表中上面服务的引导，删除。如果删除不掉可在开始 - 运行-regedit ，用系统的注册表编辑器找到该键值，右击 权限  完全控制  就能删除了。
再用System Repair Engineer 修复一下文件关联

风雪

用xdelbox(http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902下载)删除下面文件（按住鼠标左键向下拖动，用鼠标从第一行拖动从上往下到最后一行，右键复制，或者（添入“文件路径”点击“添加”路径），在xdelbox窗口空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键，选择立刻重启删除,运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等））。
C:\WINDOWS\G_Server1.23
C:\WINDOWS\System32\bkgkku.dll
C:\WINDOWS\System32\ldfiwg.dll
C:\WINDOWS\system32\3.14.exe
C:\WINDOWS\system32\drivers\ldfiwg.sys
C:\WINDOWS\system32\drivers\ehiznn.sys
C:\WINDOWS\system32\drivers\bkgkku.sys



运行 System Repair Engineer在"启动项目->服务->"Win32服务应用程序"选中"隐藏微软服务" 然后将下面名称的服务

"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)

[bkgkku / bkgkku][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k bkgkku-->%SystemRoot%\System32\bkgkku.dll><N/A>
[ldfiwg / ldfiwg][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k ldfiwg-->%SystemRoot%\System32\ldfiwg.dll><N/A>
[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]
  <C:\WINDOWS\system32\3.14.exe><N/A>
[Logical Disk  / Logical Disk][Running/Auto Start]
  <C:\WINDOWS\G_Server1.23><N/A>

运行 System Repair Engineer在"启动项目->服务->"驱动程序"选中"隐藏微软服务" 然后将下面名称的服务

"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)
[ydfiwgdf / ydfiwgdf][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\ldfiwg.sys><N/A>
[yhiznnrn / yhiznnrn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\ehiznn.sys><N/A>
[ykgkkuhm / ykgkkuhm][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\bkgkku.sys><N/A>

先下载灰鸽子专杀升级到最新后断网杀一遍毒
http://tool.duba.net/zhuansha/255.shtml  金山灰鸽子专杀
http://download.jiangmin.info/jmsoft/HGZKiller.exe 江民灰鸽子专杀
Windows清理助手及杀毒软件升级查一下：
http://www.arswp.com/download/arswp2/arswp2.zip

jackeylau

LS的谢谢拉，不过昨天一直在重装系统，换了N个系统最终还是用回原来那个系统，附扫描报告请高手看看是不是没什么问题了。

风雪

楼主下次遇到这种情况重启删除不掉蓝屏说明一下。可能删除工具对你的系统支持不够。我会换一个工具给你使用的。
用xdelbox(http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902下载)删除下面文件（按住鼠标左键向下拖动，用鼠标从第一行拖动从上往下到最后一行，右键复制，或者（添入“文件路径”点击“添加”路径），在xdelbox窗口空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键，选择立刻重启删除,运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等））。
C:\Program Files\Windows Media Player\msplaycom.exe

运行 System Repair Engineer在"启动项目->服务->"Win32服务应用程序"选中"隐藏微软服务" 然后将下面名称的服务
"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)
[COMs / COMs][Stopped/Auto Start]
  <C:\Program Files\Windows Media Player\msplaycom.exe><N/A>

jackeylau

LS的提示找不到文件，我看了下msplaycom.exe被红伞删除了，从11:20到11：50被红伞删除了4次，目前还没发现重新出现。
目前就是红伞经常删除一个c:\WINDOWS\system32\who.exe,早上还多次删除了个c:\WINDOWS\system32\1.25.exe 不知是否电脑里还隐藏别的问题，怕重装没能解决问题

风雪

用xdelbox(http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902下载)删除下面文件（按住鼠标左键向下拖动，用鼠标从第一行拖动从上往下到最后一行，右键复制，或者（添入“文件路径”点击“添加”路径），在xdelbox窗口空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键，选择立刻重启删除,运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等））。

c:\WINDOWS\system32\who.exe
c:\WINDOWS\system32\1.25.exe
安全模式扫描日志上来。
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe及红伞安全模式查一下。