qq飞车同城交友经验:请教高人。关于中毒的问题

trojan-PSW.win32.limir.arz这是个盗号木马。
从你描述的情况看，估计你是只格式化了C盘重装的系统，所以这个木马的下载器还在你的电脑里。而你重装好系统后却没有进行全面的杀毒，所以导致了马上又被感染！
另外，系统重装后，有许多软件是需要重新安装后才能打开其快捷方式的！
目前你可以这样来解决
1.能重装系统则最好，但记住重装完了之后不要访问系统盘之外的任何分区，并马上装杀毒软件，并将杀毒软件装在C盘（或你格式化之后装系统的那个分区），然后杀毒。
2.你也可以下这个软件在安全模式下对电脑进行扫描清理（安装位置和上面一样）：
木马杀客5.2绿色免安装版：
http://www.mmsk.cn/Down.html

以后记住，上网时记得开启一个杀毒软件、防火墙、木马防火墙、另外需要玩网游的话，最好开启相应的监视功能（瑞星防火墙里有）。

在安装好防毒软件之前，最好不要上网
打全windows 的补丁
http://soft.pdsu.edu.cn/list.asp?id=430
这个地址去下载一个 微软的安全补丁检测工具
看看自己是不是还有好多安全补丁没有打上

你用查进程的查一下，

重装系统后马上安装杀毒软件，建议使用正版杀毒软件，能随时更新。还有不要上乱七八糟的网站，不要点击那些可疑的链接。

传奇终结者病毒，它是窃取游戏"传奇"信息的木马病毒

病毒运行后将自己复制到%SYSDIR%目录下，文件名为"explore.exe"，并在同一目录下释放病毒所使用的动态库"explore.dll"。

修改注册表：
1.HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
增加数据项："Expatch" 数据值为：%SYSDIR%\\EXPLORE.EXE
以达到其自启动的目的。

查杀以下杀毒软件和监控软件的进程：
ravmon
passwordguard
EGhost
mailmon
kavsvcui
vptray

隐藏在后台运行，查找"传奇客户端"窗体并枚举其子窗体试图窃取游戏"传奇"的信息。如果窃取信息成功病毒将会把窃取到的信息发送到指定的邮箱。
清除建议：

1、使用第三方进程管理软件结束进程：%windir%\CSRSS.exe 和 %windir%\ExERoute.exe

2、将以下注册表键值的 rundll32.com finder.com command.pif 修改为 rundll32.exe
HKEY_CLASSES_ROOT\.lnk\ShellNew\\command
HKEY_CLASSES_ROOT\.bfc\ShellNew\\command
HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command
HKEY_CLASSES_ROOT\dunfile\Shell\open\command
HKEY_CLASSES_ROOT\file\Shell\open\command
HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command
HKEY_CLASSES_ROOT\inffile\Shell\Install\command
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command
HKEY_CLASSES_ROOT\telnet\Shell\open\command
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command
HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
HKEY_CLASSES_ROOT\Unknown\Shell\openas\command
HKEY_CLASSES_ROOT\dunfile\Shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Shared Tools\MSInfo\ToolSets\MSInfo\hdwwiz\\command

3、将以下键值的 iexplore.com 修改为 iexplore.exe
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
HKEY_CLASSES_ROOT\ftp\Shell\open\command

4、将以下键值内容修改为 %Program Files%\Internet Explorer\iexplore.exe
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
HKEY_CLASSES_ROOT\http\Shell\open\command

5、将以下键值的 explorer1.com 改为 iexplore.exe
HKEY_CLASSES_ROOT\Drive\Shell\find\command

6、将以下键值的 默认 修改为 exefile
HKEY_CLASSES_ROOT\.exe

7、将以下键值的 Explorer.exe 1 修改为 Explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\\Shell

8、将以下键值的 No 修改为 Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations

9、删除病毒的注册表自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Torjan Program"="%windir%\CSRSS.exe"

10、删除其他无用数据
HKEY_CLASSES_ROOT\winfiles
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings

11、删除以下文件 文件都具有隐藏、系统属性 请打开查看所有文件选项
%windir%\1.com
%windir%\CSRSS.exe
%windir%\ExERoute.exe
%windir%\explorer1.com
%windir%\finder.com
%windir%\MSWINSCK.OCX
%windir%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\finder.com
%system%\MSCONFIG.com
%system%\regedit.com
%system%\rundll32.com
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
系统盘根目录:\AUTORUN.INF
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk

注意：

%windir% 是指 WINDOWS 目录 [9x/ME/XP/2003]；WINNT 目录 [2000]

%system% 是指 SYSTEM32 目录 [2000/XP/2003]；SYSTEM 目录 [9x/ME]

PS:由于病毒天天在变,不排除其他变种的出现,在杀毒过程中,大家可以结合本站发布的三篇文章,对其他文件进行观察,以此判断是否应该删除 ^0^特别是那些隐藏文件,最好到网上查一查他的资料,看看到底是不是系统文件,这样病毒就无所盾形啦~~

另外
用瑞星的16.26.01 以上版本可以查杀。