Question

电脑提示有威胁，请高手帮忙分析一下！

win2003 电脑进入桌面 诺顿提示出现威胁(C:\WINDOWS\Temp\IXP000.TMP\reg.exe),已经隔离,但是不能删除更不能清除.我在安全模式下也删除了ixp000.tmp这样的目录,并且全盘扫描都没有发现异常.(病毒库已经升级为最新)，但是正常启动还是有。
查看C:\WINDOWS\Temp\IXP000.TMP这里目录里有有三个文件，一个是setup.exe 一个是goo.dll 一个是item.txt 里面内容：
新浪
搜狐
汽车
机票
油漆
私服
传奇
名牌大学
录取
房屋
上海
******内容完******
我查看了注册表里面，堂规的一些启动选项也没发现什么异常。查看reg.exe也没有找到。水平有限，请高手帮忙分析一下，如何解决，谢谢！注明：
不要告诉我重装系统之类的。
最好能分析出是怎么加载进来的，我想一步一步找到它是如何又自己生成出来的。我已经在安全模式下删除了。而且进入msconfig也没有发现什么异常。还是非常感谢！！

感谢XV流量动力
你说的我已经做过,而且是在安全模式下做过。问题还是存在。

我正在用ewido扫描,如有结果会报告给大家。感谢关注。

Answer 1

1.在开始菜单中点击“运行”，输入并执行msconfig，并关闭可疑开机启动进程。
2.找到并删除C:\WINDOWS\Temp\IXP000.TMP\该目录里所有文件。
3.下载流氓软件卸载软件：
http://so.xunlei.com/search?search=%E6%B5%81%E6%B0%93%E8%BD%AF%E4%BB%B6&restype=-1&sortby=&suffix=&lrc=false&page=1&id=2
这有个流氓软件卸载软件绿色版6合1，用起来不错：
http://cz.onlinedown.net/down/Greensafetools.zip

补充：有时系统文件会被流氓软件捆绑，卸载流氓软件后可以会造成一定的系统文件不正常，这时候最好的办法是系统重装。

Answer 2

在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
和
[HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这两项启动执行中，检查是否还在开机执行：
C:\WINDOWS\Temp\IXP000.TMP\reg.exe
有的话把它删除掉。

而且现在很多木马在进程中是隐藏的，很难查，尽管很多人说雅虎助手什么，但还是建议你用雅虎助手的高级修复中，检查是否有含有不明和危险的项，有的话需要先把他们修复，最好是全部修复危险和未知，不带有公司说明的项。