kafyezy.dll,mssock.sys,ctfnom.exe,System6.ins,WinSys88.Sys,rsztcpm.dll等木马群

煎饼

用下面的工具，清理系统临时文件和IE临时文件夹     
http://hzqedison.mm9mm.com/hanhua/ATF-Cleaner-cn.exe
用xdelbox(http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902下载)删除下面文件（按住鼠标左键向下拖动，用鼠标从第一行拖动从上往下到最后一行，右键复制，或者（添入“文件路径”点击“添加”路径），在xdelbox窗口空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键，选择立刻重启删除,运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等））。
C:\WINDOWS\system32\eREAD.dll
C:\WINDOWS\system32\config\systemprofile\play
C:\WINDOWS\system32\avwlbmn.dll
C:\WINDOWS\system32\qdshm.dll
C:\WINDOWS\system32\sqmapi32.dll
C:\WINDOWS\system32\kvmxdma.dll
C:\WINDOWS\system32\avzxdmn.dll
C:\WINDOWS\system32\kvdxcma.dll
C:\WINDOWS\system32\kaqhezy.dll
C:\Program Files\common~1\system\WinSys64.Sys
C:\WINDOWS\system32\rsmydpm.dll
C:\WINDOWS\system32\kvmxema.dll
C:\WINDOWS\system32\Win_Form13.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\allatl.dll
C:\WINDOWS\system32\addrgjhelp.dll
C:\WINDOWS\system32\addrmshelp.dll
C:\WINDOWS\system32\addrzthelp.dll
C:\WINDOWS\system32\qdshm.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jxj.css
C:\WINDOWS\system32\eREAD.dll
C:\WINDOWS\system32\kvmxeis.exe
C:\WINDOWS\system32\avzxdst.exe
C:\WINDOWS\system32\kvdxcis.exe
C:\WINDOWS\system32\rsmydsp.exe
C:\WINDOWS\system32\avzxdst.exe
C:\WINDOWS\system32\kaqheaz.exe
C:\Program Files\common~1\system\..\system\WinSys64.Sys
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\hfaseq.exe
C:\WINDOWS\ugfpvi.exe
C:\WINDOWS\hfaseq.exe

运行SREngPS.EXE——启动项目——注册表删除下面的。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <MsPrint32D><C:\WINDOWS\hfaseq.exe>  []
    <DiskMan32><C:\WINDOWS\ugfpvi.exe>  []
    <GenProtect><C:\WINDOWS\hfaseq.exe>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

    <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\common~1\system\..\system\WinSys64.Sys>  []
    <{4D47B341-43DF-4563-753F-345FFA3157D4}><C:\WINDOWS\system32\kvmxdma.dll>  []
    <{2960356A-458E-DE24-BD50-268F589A56A2}><C:\WINDOWS\system32\avwlbmn.dll>  []
    <{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\WINDOWS\system32\avzxdmn.dll>  []
    <{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\WINDOWS\system32\kvdxcma.dll>  []
    <{74648987-8373-3892-0987-987656765457}><C:\WINDOWS\system32\Win_Form13.dll>  []
    <{47D81718-1314-5200-2597-587901018074}><C:\WINDOWS\system32\kaqhdzy.dll>  [N/A]
    <{57D81718-1314-5200-2597-587901018075}><C:\WINDOWS\system32\kaqhezy.dll>  []
    <{5D47B341-43DF-4563-753F-345FFA3157D5}><C:\WINDOWS\system32\kvmxema.dll>  []
    <{4E32FA58-3453-FA2D-BC49-F340348ACCE4}><C:\WINDOWS\system32\rsmydpm.dll>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><avzxdmn.dll>  []修改为<>

运行 SREngPS.EXE在"启动项目->服务->"Win32服务应用程序"选中"隐藏微软服务" 然后将下面名称的服务
"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)
[GrayPigeon_Hacker.com.cn / GrayPigeon_Hacker.com.cn][Stopped/Auto Start]
  <><N/A>
[windows / windows][Stopped/Auto Start]
  <><N/A>
[windows play / windows play][Stopped/Auto Start]
  <C:\WINDOWS\system32\config\systemprofile\play><N/A>

运行 SREngPS.EXE在"启动项目->服务->"驱动程序"选中"隐藏微软服务" 然后将下面名称的服务
"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)

[SVKP / SVKP][Running/Auto Start]
  <\??\C:\WINDOWS\system32\SVKP.sys><AntiCracking>

运行SREngPS.EXE——系统修复——浏览器加载项找到下面删除
  {AFF11CD0-AE0F-48C9-AB2E-82A9597C2684} <C:\WINDOWS\system32\eREAD.dll, N/A>

SREngPS.EXE——系统修复——WINSOCK供应者里——选择红色的“重置所有内容....”

Windows清理助手及杀毒软件升级安全模式下查一下：
http://www.arswp.com/download/arswp2/arswp2.zip

病毒清除干净后及时更换QQ密码,防止被盗号