来源:赛迪网　作者:ztt

QQ已经成了电脑必备软件，是大家相互交流沟通的一个重要工具。也有数据表明，企业用户也为了更加方便的与用户沟通和服务，也开始采用QQ的商务功能，足以可见，有网络的地方就有QQ。如何保障QQ安全，成了我们大家所关心的话题。

　　近期，微点主动防御软件自动捕获了一种QQ盗号木马“Trojan-PSW.Win32.QQPass.ljl”，该木马采用大家常见的文本文件图标

　　很容易造成用户误点击。该木马被执行后，会把系统时间为修改“2004”年，以此造成依赖时间机制的杀毒软件工作失效，随后木马会查找QQ进程并将其关闭，并修改注册表实现开机自启动，通过API函数设置全局钩子试图将自身注入到所有进程中，查找QQ的登陆窗口，通过监视“鼠标”“键盘”消息来获取 “帐号”、“密码”，把所获信息通过“邮件”的方式发给盗号者。

　　为了更好的盗号和传播木马，该木马还会禁用杀毒软件，屏蔽安全网站，关闭杀毒软件提示窗口，让一般用户无法自己处理掉，而继续危害用户的财产安全。该木马功能强大，危害性同样很高，QQ用户请务必警惕!

　　该木马会通过“可移动存储(比如常用的U盘)”、“木马下载器下载”等途径植入用户计算机，运行后伺机盗取“QQ”的“帐号”和“密码”。

　　如此大的危害，难道就让它肆意破坏吗?微点主动防御站出来，对它说：不!

　　温馨提示

　　已安装使用微点主动防御软件的用户，不需要做任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理(如图1);

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.QQPass.ljl”，请直接选择删除(如图2)。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。

　　3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　4、开启Windows自动更新，及时打好漏洞补丁。

来源：太平洋电脑网

最近Autorun.inf病毒越来越多，也越来越厉害，最近就碰上了一种，双击盘符打不开，连在右键菜单中选择“打开”也提示错误。

　　要知道里面保存了很多有用的资料，如果格式化的话就全没了，难道就没有办法了吗？无意之中发现了一种超简单的解决办法。

　　打开资源管理器，在左侧目录树中点击受感染的盘符，这时在右侧的内容窗格中，便显示出分区内的内容了。找到Autorun.inf文件，双击打开，找到调用的目标，连同Autorun.inf文件一起删除搞定。

　　除了上面这种方法外，也可以在打开“我的电脑”后，在地址栏中直接输入对应的盘符（类似于“F:\”的形式）来打开。

　　小提示：病毒一般都是隐藏属性，因此需要在“文件夹选项”中勾选“显示所有文件”，并取消“隐藏受保护的操作系统文件（推荐）”选项的选择，这样才能找到病毒文件。

作者： 中关村在线 张齐

根据江民科技反病毒中心最新的恶意网页检测结果显示，网站挂马已经成为了木马传播的主要渠道，病毒作者往往会入侵各种网站、论坛、博客，并在其页面上种植网页木马，当用户浏览这些带有网页木马的网站时，如果没有打好系统补丁，就会感染木马病毒，这其中包括各种网游木马、QQ木马，以及网银盗号木马等，而这些木马病毒无一例外的都瞄准了用户的网上“钱包”。

　　然而与以往不同的是，如今的病毒作者除了利用常用的系统漏洞MS060-14、MS07-017和MS07-004等漏洞进行挂马之外，已经有更多的病毒作者开始热衷于利用应用软件的漏洞进行传播木马，比如各种IM即时通讯聊天工具漏洞、播放器漏洞、网络电视播放软件漏洞、甚至就连搜索工具条漏洞也成为病毒作者瞄准的目标。这些应用软件的用户量极大，因此木马病毒的传播范围也极广，严重威胁到用户的网络财产安全。

　　为了大家能够过一个愉快的长假，提醒广大用户在十一长假期间应做好如下六项防范措施：

　　1、 及时打好系统补丁，可以利用江民杀毒软件KV2007、KV2008的“系统漏洞检查”功能自动检查并下载系统漏洞，减少网页木马入侵的可能。

　　2、 在使用即时通讯工具的时候，不要随意接收好友发来的文件，同时，不要轻信对方发来的中奖邀请、电话点歌邀请等，谨防“MSN性感相册”蠕虫病毒及“QQ尾巴病毒”的最新变种病毒。
　　
　　3、 将电脑中的应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等，更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。

　　4、 选择具备“网页防马墙”功能的杀毒软件，每天升级杀毒软件病毒库，定时对电脑进行病毒查杀，上网时开启杀毒软件全部监控。

　　5、 在登录网上银行、网络游戏等网络平台时，尽量直接在地址栏输入网页地址，输入帐号密码时建议使用软键盘输入。

　　6、 使用网上密码保护软件，可以有效保障网上银行、支付平台、网上证券交易、网络游戏等帐号密码，全面保护用户私密信息。

据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“磁盘精灵蠕虫变种CC（Worm.Win32.DiskGen.cc）”病毒。该病毒通过U盘传播，手动清理比较困难。

本日热门病毒：

“磁盘精灵蠕虫变种CC（Worm.Win32.DiskGen.cc）”病毒：警惕程度★★★，蠕虫病毒，通过U盘传播。依赖系统： WINNT/2000/XP/2003。

这是一个蠕虫病毒。病毒运行后，会将自身复制到系统目录下，其文件属性被病毒设为隐藏，并且不允许用户关闭其进程。病毒会搜索电脑中所有的磁盘目录，然后在每个磁盘根目录下建立病毒文件实现自动运行功能，使用户双击磁盘后即被感染，并以此作为传播途径。

反病毒专家建议电脑用户采取以下措施预防该病毒：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站；

2、很多病毒利用漏洞传播，一定要及时给系统打补丁；

3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

4、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播。

5、打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run查找以下的两个路径，并删除“C:/Windows/system/syseXPlr.exe”.
（2）关闭Regedit，重新启动到MSDOS方式。
（3）删除C:/Windows/system/kernel32.exe和C:/Windows/system/sysexplr.exe
清除冰河v2.2以上版本方法是：
（1）服务器程序、路径用户是可以随意定义的，写入注册表键名也可以自己定义。HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Servises/W3SVC/Parameters/Virtual Roots/的Scripts键值：，，217改为，，201；这个键默认就是被打开的，不过如果没有特别需要的话，可以关闭，因为很多漏洞都是利用了这个虚拟目录下文件被攻击的。
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/的msadc键值：，，217改为，，201。
（2）将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/c键值：c://,,217删除（它将本地硬盘中的C盘在Web中共享为c）；
将
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/d键值：d://,,217删除（它将本地硬盘中的C盘在Web中共享为d）；
   如果不删除注册表中的以上键，中毒服务器的本地硬盘C、D将被完全控制。

（3）重启系统，以确保CodeRed被彻底清楚。

要在安全模式下(还能进安全操作，在删的同时要打开注册表把对应的EXE文件中的注册表信息也删了，因为病毒在运行时已经修改了注册表。打开注册表的方法：运行>>输入regedit>>回车   （把EXE文件名复制在注册表里查找，然后删除就行）
还要修改开机启动项，因为病毒会自动在开机后启动（去除多余启动项的方法：开始－－运行－－msconfig－－启动－－去除一找到可疑启动项－－取消勾－－确定）
删除:\WINDOWS\TEMP
删除C:\Documents and Settings\******\Local Settings\Temp\下的所有文件
删除 C:\Documents and Settings\*******\Cookies\下的所有文件
删除 c:\winnt\*.tmp\下的所有文件 (2000)
删除:C:\WINDOWS\SYSTEM32\最新的dll文件（注意确定自己是否最近有安装软件，有就要谨慎删除，以免误删）
删除C:\Documents and Settings\**********\Local Settings\Temporary Internet Files\下的通通干掉
运行瑞星，查杀病毒，如果还能查出，把病毒名和感染文件目录记下，找出文件根目录删除，同时在注册表里重复2的步骤

说明： “ ******* ” 为用户文件夹名。

以上办法适合众多的手动清除病毒，特拿出来共享！

常常听到许多人说俺中毒了怎么办，回答当然是杀毒，F8杀毒，但如果您手头的杀毒程序功能不强或更新速度过慢，那只能让病毒特别是可恶的木马无孔不如了，这里我为大家介绍一种手动查杀毒方法。。毛主席教导我们说自己动手丰衣足食嘛呵呵（当然相信许多高手一定都一直到更多方法，但我发现我们的论坛却没有一篇详细的着类文章。所以自己做了个总结，如有不足请多多指教）
在这里我们要用的的几个必杀工具有：
1.Fport
2.WinProcess（windows优化大师进程查看工具）
3.ha-killbox
  这些软件一般网站都有下载如黑鹰，而且软件大小很小 ，功能强大，基本上对机子配置系统没有要求，更重要的是可是免费哦，相信这年头没有哪个病毒软件能做到吧 呵呵)
  如果某年某月日我们如感觉自己机子感觉不对头（当然这要的是经验）。。那就请开始我们的文章吧
首先我们用Fport（当然windows自带的netstat -na命令也可以只是功能稍微逊点不能直接看到是哪个程序来）查看可恶的木马是否骑站了咱们的某些端口
第一步 下载Fport 解压在Fport文件夹中建立BAT文件，为方便以后每次使用（具体步骤1.点右键建立快接方式，2该文件名为Fport.bat，3点右键编辑“start cmd.exe”保存） 网管联盟bitsCN@com
第二步打开 Fport.bat
出现如下：^

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:\Documents and Settings\Administrator
E:\>fport /ap
FPort v2.0 - TCP/IP Process to Port Mappercz
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid? Process??????Port?Proto Path
616? Apache???? ->?80??TCP? D:\usr\local\apache\Apache.exe
464? svchost????->?135? TCP? C:\WINNT\system32\svchost.exe
8?? System???? ->?139? TCP
8?? System???? ->?445? TCP
516? msdtc?????->?1025?TCP? C:\WINNT\System32\msdtc.exe
628? tcpsvcs????->?1026?TCP? C:\WINNT\System32\tcpsvcs.exe
1192?MSTask???? ->?1027?TCP? C:\WINNT\system32\MSTask.exe
8?? System???? ->?1029?TCP
1316?svchost????->?1621?TCP? C:\WINNT\system32\svchost.exet 网管联盟bitsCN_com
1316?svchost????->?1623?TCP? C:\WINNT\system32\svchost.exe
1316?svchost????->?1627?TCP? C:\WINNT\system32\svchost.exe
8?? System???? ->?1770?TCP
768? mysqld-nt???->?3306?TCP? D:\usr\local\mysql\bin\mysqld-nt.exe
516? msdtc?????->?3372?TCP? C:\WINNT\System32\msdtc.exe
628? tcpsvcs????->?67??UDP? C:\WINNT\System32\tcpsvcs.exe
628? tcpsvcs????->?68??UDP? C:\WINNT\System32\tcpsvcs.exe　FTP.exe-z
8?? System???? ->?137? UDP
8?? System???? ->?138? UDP
8?? System???? ->?445? UDP
256? lsass?????->?500? UDP? C:\WINNT\system32\lsass.exe3
1648?rundll32??? ->?1703?UDP? C:\WINNT\system32\rundll32.exe
1500?Rundll32??? ->?1751?UDP? C:\WINNT\system32\Rundll32.exe
628? tcpsvcs????->?2535?UDP? C:\WINNT\System32\tcpsvcs.exe
2520?WebScanner?? ->?3674?UDP? E:\Hk\FFScanDemo\WebScanner.exe
2696?iexplore??? ->?3699?UDP? C:\Program Files\Internet Explorer\iexplore.exe
网管网www.bitscn.com


＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
具体操作详情见
木马和未授权远程控制软件的关闭
http://bbs.hackbase.com/viewthread.php?tid=2753809&sid=wLklic
  
然后我们用WinProcess 查看具体进程具体分析
直接可以与下面的文章进行参照找出不合法的进程，
Windows进程完全解析
http://bbs.hackbase.com/viewthre ... hlight=%BD%F8%B3%CC

  最后那当然是删除病毒文件了 我们用到的程序是ha-killbox 。KillBox 实质是一个删除任意文件的利器，它不管这个文件是EXE还是DLL等其它文件，也不管这个文件是正在运行中，还是被系统调用了，KillBox 都可以简单几步就将文件删除。正因如此，KillBox 在反病毒方面使用非常之棒。现时流行类病毒（蠕虫、木马）很多均为单独的病毒文件，与系统无关，可以安全删除此类病毒文件。但在删除过程，由于病毒的狡滑，总是很难删除，这连国际知名安全软件产商也推荐在安全模式杀毒。有了 KillBox ，一切变得简单多了，只要先通过 HijackThis 等系统分析工具的 Log ,确认了病毒的文件，再填上病毒文件的完整路径，或通过游览选中此病毒文件，一 K 就行了（某些病毒可能需要重启电脑）。 网管下载dl.bitscn.com
我使用的使酷儿中文版功能，很齐全有使用说明。。大家只要参照说明相信没有杀不了的病毒
总结 大家也可以配上可以搭配 HijackThis & CheckRun 或卡巴斯基出品的木马探测器来直接扫描病毒然后用KillBox删除。呵呵我一般多用木马客星（电脑报测试100%查马软件 估计吹牛）扫到然后用KillBox删，至于HijackThis也是个很帅气的软件有机会再详细介绍使用方法

病毒标签：
病毒名称： Trojan-Downloader.Win32.Agent.tpl
病毒类型： 木马下载器
文件 MD5： CA37146955652C2EB67B6BE87A7A1C45
公开范围： 完全公开
危害等级： 4
文件长度： 24,576 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
病毒描述：
　　该病毒为下载者木马类，该病毒利用了加密手段将API全部加密，以达到躲避杀软的
查杀，运行后在%Windir%目录下创建tempaq文件夹，调用internetopenurla函数打开一
个HTTP连接地址，然后调用堆栈 InternetReadFile函数读取网页上的内容；将网页文件
保存到tempaq文件夹，并隐藏运行，经分析网页的内容为PE格式文件。
行为分析：
本地行为：
1、运行后在%Windir%目录下创建tempaq文件夹。
2、调用internetopenurla函数打开一个HTTP连接地址，然后调用堆栈
　 InternetReadFile函数读取网页上的内容：将网页文件保存到tempaq文件夹，
　 并隐藏运行。
　　　　
网络行为:
　　　　协议：TCP
　　　　端口：80
　　　　连接服务器名：
　　　　http://sports.yaho****.com/image/logo.jpg?queryid=80029
　　　　IP地址：58.211.7.**
　　　　
　　　　读取的网页文件保存到本地运行后衍生文件到
　　　　%system32%\drivers\dnnpgw6m.sys
　　　　%system32%\drivers\dnnpgw6m.sys
　　　　%system32%\system32\h0gq2mpll.dll
注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　
　　　　
--------------------------------------------------------------------------------
清除方案：
1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 (1)使用ATOOL“进程管理”结束该病毒相关进程。
　 (2)删除病毒下载后衍生的文件：
　 　 %system32%\drivers\dnnpgw6m.sys
　 　 %system32%\drivers\dnnpgw6m.sys
　 　 %system32%\system32\h0gq2mpll.dll

文件名称：gg.exe

文件大小：65607 byte

AV命名：

Worm.Win32.AutoRun.wp 卡巴斯基
Worm.Delf.65607 金山毒霸
Win32.HLLW.Autoruner.548 Dr.WEB

加壳方式：未

编写语言：Microsoft Visual C++ 6.0

文件MD5：33d493af096ef2fa6e1885a08ab201e6

行为分析：

1、 释放病毒文件：

C:\WINDOWS\gg.exe 65607 字节

2、 添加启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(注册表值) ctfmon.exe = REG_SZ, "C:\windows\gg.exe"

3、 查找可用磁盘，生成：autorun.inf和gg.exe，实现U盘感染。

4、 连接121.206.1.2××下载木马，不过未实现。

5、 直接获取系统内存，隐藏自身，防止被结束。

解决方法：

1、 下载冰刃和SREng(均可到down.45it.com下载)。
2、 打开冰刃，结束病毒进程。（gg.exe）
3、 打开SREng，删除启动项：

(注册表值) ctfmon.exe，指向的C:\windows\gg.exe。

注意不要删除错了。
4、 删除病毒文件：

C:\WINDOWS\gg.exe 65607 字节

5、 用winrar删除磁盘底下的文件，注意不要双击进入磁盘，不要病毒又复活了。

6、若无法清除，请把病毒样本发送至526170722@qq.com

本文来自: 脚本之家(www.jb51.net) 详细出处参考：http://www.jb51.net/article/13639.htm

一：问题和症状：
中病毒,其它的病毒文件都好杀.就C:\WINDOWS\system32\cdsdf.exe杀毒软件杀不掉.用PowerRmv杀灭后抑制再生成也没有用.请帮忙解决
二：分析解决：
1. 杀毒前关闭系统还原(Win2000系统可以忽略）：
右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。
关闭QQ等应用程序。进行如下操作前，请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
2.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
【删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm。】
[复制此代码]CODE:
C:\WINDOWS\system32\cdsdf.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\xpsp3res.dll
C:\WINDOWS\system32\kl.exe
C:\WINDOWS\system32\NETW0R~1.EXE
C:\WINDOWS\system32\fgdfsdf.exe
C:\WINDOWS\G_Server1.23.exe
C:\WINDOWS\G_Server1.23.dll
C:\WINDOWS\G_Server1.23_hook.dll
C:\WINDOWS\G_Server1.23key.dll
C:\PROGRA~1\hwsy\ugji.dll
C:\WINDOWS\system32\explorcr.exe
C:\WINDOWS\system32\Rpcs.exe
C:\WINDOWS\avp.exe
c:\windows\System32\DRIVERS\bktybu25.sys
C:\WINDOWS\system32\drivers\cozlqk72.sys
c:\windows\System32\DRIVERS\jvardz24.sys
c:\windows\System32\DRIVERS\ukffsz58.sys

3. 重启计算机后，用工具 SREng 删除如下各项
【如下操作有风险，必须看懂上面的方法再操作。】
【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，装杀软后的正常修改。】
==================================
启动项目 -->注册表 的如下项删除
<{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk> [N/A]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> [N/A]
==================================
启动项目 -->服务-->Win32服务应用程序 的如下项删除
[Background Intelligent Transfer Service / BITS][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\xpsp3res.dll><N/A>
[DC0M Server Process Launher / DC0r][Stopped/Auto Start]
<C:\WINDOWS\system32\kl.exe><N/A>
[DNS CL1ENT / DNSCL1ENT][Running/Auto Start]
<C:\WINDOWS\system32\NETW0R~1.EXE><N/A>
[sdhcvs / edfscv][Stopped/Auto Start]
<C:\WINDOWS\system32\fgdfsdf.exe -service><Microsoft Corporation>
[Gray_Pigeon_Server1.2 / GrayPigeonServer1.2][Stopped/Auto Start]
<C:\WINDOWS\G_Server1.23.exe><N/A>
[Std pbed Service / pbed][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\hwsy\ugji.dll,Service -s><Microsoft Corporation>
[Messaging / Remote Procedure][Stopped/Auto Start]
<C:\WINDOWS\system32\explorcr.exe><N/A>
[Remote Procedure Call System(RPCS) / RpcS][Stopped/Auto Start]
<C:\WINDOWS\system32\Rpcs.exe><N/A>
[Audio Adapter / VGADown][Running/Auto Start]
<C:\WINDOWS\avp.exe><N/A>
==================================
启动项目 -->服务-->驱动程序的如下项删除(如果删不掉，就设置类型为disabled!)
[bktybu2 / bktybu25][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\bktybu25.sys><Microsoft Corporation>
[cozlqk72 / cozlqk72][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\cozlqk72.sys><N/A>
[jvardz2 / jvardz24][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\jvardz24.sys><N/A>
[ukffsz5 / ukffsz58][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ukffsz58.sys><N/A>
SREng 修复 位置：系统修复--->Windows Shell/IE 点全选，点“修复”
SREng 位置：系统修复-->修复 winSock供应者 点“重置所有内容为默认值”
最后用360安全卫士 下载地址:www.360safe.com把能检测到的全选后点清理（删除）