求助

我的电脑每半分钟就会飞出一个这样的对话框，好像是遭到攻击的意思。我重装过机器，但几天后又会出现，并且输入法也不显示了，时间也不能调整了，请教一下各位高手这是什么病毒？该怎么办？用什么软件杀毒？还是用其他什么方法啊？。。。。着急！！！！

病毒在其他的分区也有，  所以重新安装有并没有清理掉。


需要重新安装系统C盘，其他的盘先不要使用（看都不要看）。然后到网上安装个杀毒软件全盘查杀病毒，杀毒完毕了才使用。

建议： 将近期与电脑连接过的  U盘、数码相机、手机内存卡 都查杀一次病毒。

非常感谢,我试一下:)

恭喜你 中毒了！【中毒症状】

　　1. U盘文件夹“消失”，被同名的exe文件“替代”
　　2. 无法切换中文输入法
　　3. 开机/关机的速度变得很慢
　　4. 进程中有Global.exe和Fonts.exe，结束进程马上自动恢复
　　5. 各个硬盘分区根目录下多出来autorun.inf和MS-DOS.com，用WinRAR或者7-zip之类软件可以看到，普通方式查看不到。
　　6. 其他一些不明显的症状...

【解决方法】

1. 用XDelBox删除以下文件（右键剪贴板导入不检查路径）：

　　C:\WINDOWS\pchealth\Global.exe
　　C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
　　C:\WINDOWS\system\KEYBOARD.exe
　　C:\WINDOWS\Help\microsoft.hlp
　　C:\WINDOWS\system32\regedit.exe
　　C:\WINDOWS\system32\drivers\drivers.cab.exe
　　C:\WINDOWS\system32\dllcache\autorun.inf
　　C:\WINDOWS\system32\dllcache\Default.exe
　　C:\WINDOWS\system32\dllcache\svchost.exe
　　C:\WINDOWS\system32\dllcache\Global.exe
　　C:\WINDOWS\system32\dllcache\tskmgr.exe
　　C:\WINDOWS\system32\dllcache\explorer.exe
　　C:\WINDOWS\system32\dllcache\rndll32.exe
　　C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
　　C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
　　C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
　　C:\WINDOWS\Fonts\tskmgr.exe
　　C:\WINDOWS\Fonts\Fonts.exe
　　C:\WINDOWS\Media\rndll32.pif
　　C:\WINDOWS\Cursors\Boom.vbs
　　以及各个硬盘分区下的Autorun.inf与MS-DOS.com

　　以上list导入完毕之后，右键选择立即重起删除，之后的关机过程可能要等待好几分钟的时间，甚至出现死机，可以强行关机重起。重起删除后，残留的需要手动清除的病毒尸体还有：
　　文件夹C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}
　　还有病毒创建的一个可能文件名不确定的.tmp文件（整个Temp可以清空）C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF****.tmp

2. 将以下分割线之间的内容复制到记事本，保存为扩展名为.reg的文件，然后运行“regedt32”，选择文件--导入，导入刚刚保存的.reg文件。

=============== .reg开始的分割线 ===============

Windows Registry Editor Version 5.00

; 以分号开头的行为注释的废话

; 清除病毒屏保
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="600"
"SCRNSAVE.EXE"=-
"AutoEndTasks"="0"

; 修复文件关联
[HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command]
@="%SystemRoot%\system32\mmc.exe \"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
@="%SystemRoot%\system32\mmc.exe \"%1\" %*"
[HKEY_CLASSES_ROOT\regedit\shell\open\command]
@="regedit %1"
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit \"%1\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command]
@="regedit %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
@="regedit \"%1\""

; 删除开关机脚本
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts]

; 恢复显示com和exe的扩展名
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile]
"NeverShowExt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"NeverShowExt"=-

; 清除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
@=-
"C:\WINDOWS\system\KEYBOARD.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"sys"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
@=-

; 清除映像劫持
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]

; 恢复显示系统文件选项相关
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"

; MUICache有什么用不大清楚，这一堆似乎不重要
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"=-
"C:\WINDOWS\system32\dllcache\Default.exe"=-"C:\WINDOWS\Fonts\Fonts.exe"=-

; 不知道Global在干什么
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components#CONTENT#]
@=""
"Source"=-
"SubscribedURL"=-
"FriendlyName"=-
"Flags"=-
"Position"=-
"CurrentState"=-
"OriginalStateInfo"=-
"RestoredStateInfo"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=-
"Settings"=-
"GeneralFlags"=-

; 还是不知道在干什么
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableStatusMessages"=-

; 清除残留信息
[-HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

=============== .reg 完毕的分割线 ===============

3. 建议运行“sigverif”检查文件的数字签名，如果有未经签名验证的文件，从别人的机器上拷一个过来覆盖原文件。

4. 防毒要养成良好的U盘使用习惯。

5. 对于U盘里面“消失不见”的文件夹，可以运行命令恢复（其中X为U盘盘符）：
　　attrib -s -h -r X:\* /s /d

钥匙嫌麻烦就按李兄的方法 简便有效！！

太感谢了
这个方法我确实不太能看懂，我再仔细研究一下：）

总而言之 就是中毒了 全盘格式化重装就没问题了