不知道为什么，刚开机还好，用了一会，内存耗的特大，都700多M了，正常只有200左右的，各位大大帮忙看看什么问题啊，扫描结果如下：

Logfile of HijackThis v1.99.1
Scan saved at 8:23:44, on 2006-7-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
F:\李永进\软件备份\扫描软件.exe

F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\PROGRA~1\SUPERR~1\MAGICSET\haokanbar.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\XunLeiBHO_002.dll
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\PROGRA~1\SUPERR~1\MAGICSET\haokanbar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\MPC\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky\kavsvc.exe

唉。。就没个高手帮帮忙啊

C:\WINDOWS\WINLOGON.EXE
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
我觉得这个WINLOGON有问题。
我说的对不对？请高手指点？

Quote:

下面是引用singularity于2006-07-17 22:30发表的:
C:WINDOWSWINLOGON.EXE
O4 - HKLM..Run: [Torjan Program] C:WINDOWSWINLOGON.EXE
我觉得这个WINLOGON有问题。
我说的对不对？请高手指点？

我认为对
因为WINLOGON应该在C:\WINDOWS\system32下~

李永进，本尊？

Quote:

下面是引用singularity于2006-07-17 22:30发表的:
C:WINDOWSWINLOGON.EXE
O4 - HKLM..Run: [Torjan Program] C:WINDOWSWINLOGON.EXE
我觉得这个WINLOGON有问题。
我说的对不对？请高手指点？

一，用第三方的进程管理器干掉winlogon.exe，注意用户名，用户名为System的是正常进程

二，打开注册表编辑器
1，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  将值shell = Explorer.exe 1改为shell = Explorer.exe

2，删除自启动项
  到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  将Torjan Program（很明显吧木马程序）C:\WINNT\winlogon.exe删了

3，到HKEY_Classes_root\.exe下默认值 winfiles 改为exefile

4.删除其他无用数据
删除以下两个键值：
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

5，搜索iexplore.com，改为iexplore.exe
  共有这几项
  HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
  HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
  HKEY_CLASSES_ROOT\ftp\Shell\open\command

6，搜索iexplore.pif 改为%Program Files%\Internet Explorer\iexplore.exe
  共有这几项
  HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
  HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
  HKEY_CLASSES_ROOT\http\Shell\open\command
7. 搜索explorer.com 改为iexplore.exe
  就是这项
  HKEY_CLASSES_ROOT\Drive\shell\find\command

8，将以下键值的 No 修改为 Yes
  HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
 
三，打开我的电脑。要用右键打开C盘，不然病毒会在运行。
  以下基本用是隐藏，系统文件。要在文件夹选项中打开查看所有文件选项。
  大多数文件日期全为2006／06／17，你也可以用这个来找。
1， 删除%windir%目录下的
    1.com
    ExERoute.exe
    explorer.com
    finder.com
    WINLOGON.EXE
2，   删除%windir%\system32目录下的
    command.pif
    dxdiag.com
    finder.com
    MSCONFIG.COM
    regedit.com
    rundll32.com
3， 删除%Program Files%目录下的
  Internet Explorer\iexplore.com
  Common Files\iexplore.pif

4， 删除每个分区下的autorun.inf文件，（这个就是不能直接打开分区的原因）

5， 删除以下文件夹：%windir%\debug

这样就基本删了它了，不足之处请高手指出
顺便说一下,我是用Total Commander与Registry workshop来找文件和注册表的

真是够详细的！

谢谢各位了，我去网上看了下，好像叫什么落雪的木马，太难了，有在D盘的，我重装了。。在杀，基本一个没问题了。

楼上有人跟偶同名？？？？