这是从一个SREng的扫描报告得出的解决办法，该报告显示出中毒的网友还中了N多的木马，但主要就是瑞星报Trojan.IMMSG.Win32.TBMsg.gu的4B2DF390.DLL文件注入了所有进程，难以清除。

同时，磁盘根目录下被放了autorun.inf文件，这也是导致难以清理的清理原因。关于autorun.inf相关问题的参考：http://hi.baidu.com/sanluxia/blog/item/d8798d544a49e25ad1090600.html

其他中了该病毒的网友可以将这篇的解决办法作为一个参考，你的实际情况可能并不完全一样。推荐的解决步骤如下：

1、清空IE临时文件。IE菜单/工具/Internet选项：常规/Internet临时文件/删除文件。
2、瑞星升级到最新版本，然后点“设置/详细设置/开机扫描：扫描所有硬盘”
3、禁用系统还原。我的电脑点右键/属性/系统还原：在所有驱动器上禁止系统还原。
4、重新启动，耐心等待瑞星开机扫描完成，然后再重新启动，按F8到安全模式，全部硬盘再扫描一遍。
5、发现有瑞星报毒，但经过上述过程还是不能杀掉的病毒文件，记下来文件名和位置。
6、还是在安全模式下，在资源管理器中找到那些文件，点右键，选粉粹文件。如果找不到那些文件，打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，点击“确定”，然后再找。还是找不到，说明病毒有RootKit隐藏，到www.360safe.com下一个文件粉粹工具，直接将那些文件的全路径名导入粉粹之。
7、然后再用瑞星杀一遍。
8、上述方法都试过了，还是不能解决，建议——
System Repaire Engineer(SRE) 2.4.12.806
下载：http://www.kztechs.com/sreng/download.html
安装启动后，点智能扫描，将报告保存为文件，然后贴到网上寻求帮助（最好描述现象，瑞星报的病毒名），也可以发给我：sanluxia@sina.com。

现在说到正题，手工的解决办法——

1、瑞星升级；到www.360safe.com下载文件粉粹工具：http://bbs.360safe.com/viewthread.php?tid=164748&extra=page%3d1
或者PowerRMV:
http://www.down911.com/SoftView/SoftView_4227.html

2、重新启动，到安全模式，运行360文件粉粹工具，导入并粉粹如下文件（可以直接将下面的列表拷下来，存为文本文件，放到桌面上。重启到安全模式后直接从该文本文件导入）：
C:\Documents and Settings\Administrator\Local Settings\Temp\sysphong.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\rxso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wlso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wgso.exe
C:\WINDOWS\TIMHost.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\tlso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wdso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\zxso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\qjso.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\Resources\Themes\Login\logonui-3.1.exe
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\WINDOWS\system32\xygpri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
C:\WINDOWS\system32\FE09FA50.EXE
C:\WINDOWS\system32\GlbkBPv.exe
C:\WINDOWS\system32\GPPxtrE.exe
C:\WINDOWS\system32\quJToiq.exe
C:\WINDOWS\system32\rundll32.exe windhcp.ocx,input
C:\WINDOWS\system32\4B2DF390.DLL] [Microsoft Corporation, ]
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\WINDOWS\system32\dhbpri.dll
C:\Program Files\Unlocker\UnlockerHook.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso0.dll
C:\WINDOWS\system32\TIMHost.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\jh.dll
C:\WINDOWS\system32\windhcp.ocx
c:\Autorun.inf
c:\PageFile.pif
d:\Autorun.inf
d:\PageFile.pif
e:\Autorun.inf
e:\PageFile.pif
f:\Autorun.inf
f:\PageFile.pif
对于粉粹不了的文件，记下来，忽略并进行下一步，下次重启是再来粉粹。

3、还是在安全模式，运行SRE，在“启动项目/服务/驱动程序”中，删除如下项目：
（运行SRENG--->启动项目--->服务--->驱动程序--->勾选“隐藏已认证的微软项目”--->选择要删除的驱动程序--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）
[Bluesky002 / Bluesky002]

在“启动项目/服务/win32服务应用程序”中，删除如下项目：
（运行SRENG--->启动项目--->服务--->win32服务应用程序--->勾选“隐藏已认证的微软项目”--->选择要删除的服务--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）
[1DCC7DF0 / 1DCC7DF0]
[GlbkBPv / GlbkBPv]
[GPPxtrE / GPPxtrE]
[quJToiq / quJToiq]
[Windows DHCP Service / WinDHCPsvc]

在“启动项目/注册表”中，删除如下项目：
<svc>
<rxsa>
<ztsa>
<wlsa>
<wgsa>
<TIMHost>
<tlsa>
<wdsa>
<zxsa>
<qjsa>
<KVP>
<UnlockerAssistant>
<{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll> []
<{813AF41A-21B1-131B-1BFC-D2A90DF4A2B8}><C:\WINDOWS\system32\xygpri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> []
<{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys> []

将如下项目改为空：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><xygpri.dll> []
将如下项目改为logonui.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><C:\WINDOWS\Resources\Themes\Login\logonui-3.1.exe> [Microsoft Corporation]

4、重新启动，还是到安全模式，将第2步没有粉粹掉的文件粉粹了，用你的瑞星再扫描一遍。

Author: Sanluxia
Aug. 1, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.