有一天，QQ好友发给我一个消息，具体内容我忘了，传送一个文件给我，下意识感觉不对，我就把内容选中，copy了一下发给她了，问她是怎么回事，结果从这个动作之后，我的机子就出现异常了，老会弹出一个 tom-sky 的安装窗口，有时关机还出现结束进程cdownexe的窗口。


用icesowrd 查看进程，发现一个isignup.dll.到网上查了一下，原来是盗Q木马。这3者之间不知道有什么关系？

http://www.cisrt.org/bbs/viewthread.php?tid=589

我根据该网站提供的方法清除病毒后，重新开机。结果360safe实时监控还是提示我有非法程序。下面是奇虎360safe 拦截的程序。

并且在C:\Program Files\Internet Explorer\Connection Wizard 里，依然发现那3个顽固的文件：isignup.dll，isignup.exe, isignup.sys.

奇虎360safe 拦截的程序报告：
//-------------------------------------------------------------------------
名称：{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
路径：C:\Program Files\InternetExplorer\Connection Wizard\isignup.sys
出品公司：
行为描述：新增系统可执行挂钩
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

/这个程序每2分钟就会跳出来一次，360safe 实时监控不停的提示/


名称：实用网址导航(酷站导航)
路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
出品公司：上海来网广告公司
行为描述：强制安装、弹出广告、无法彻底删除 ★请下载专杀工具进行查杀★


名称：Hardware
路径：C:\WINDOWS\system32\oaycx.dll
出品公司：Microsoft Corporation
行为描述：篡改系统服务


名称：PCTools
路径：C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
出品公司：新萌科技（上海）有限公司
行为描述：强制安装、无法彻底删除

//--------------------------------------------------------------------

我感觉虽然病毒被拦截了，但是没有彻底根除。也不知道，tom-sky, cdownexe,和isignup有什么关系。他们是同时出现的。

是不是也有可能：按照http://www.cisrt.org/bbs/viewthread.php?tid=589我只清除了isignup，没管另外两个，所以导致没清除干净。

高手帮忙啊。

灵活应用icesword或gmer+sreng应该可以搞定的。
先给你一些资料你试一下，不行的话明晚过去帮你弄。    

手工清除方法：
1.删除病毒添加的注册表项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"=" "

[HKEY_CLASSES_ROOT\CLSID\]
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}


2.重新启动系统

3.删除病毒文件：
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys

4.重新安装一下QQ,并反病毒软件查看是否还有其它木马病毒！

按杀毒软件提供的路径，记下来 （这种类型的病毒，杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的）

1.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。

2.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。用同样的方法排查下system32文件夹，看看有没有同名的.dll文件存在，有的话，一并删除。

3.搜索注册表里这个文件的键值，删除搜索到的－－如果有的话。
如果在system32文件夹下搜索到有.dll文件并且也删除了，在注册表中也搜索一下，看看有没有相关的键值，有的话也删除它。

4.重启电脑，这个东西应该清除干净了。

特别要注意第2步，搜索下System32这个文件夹下是否存在同名或同时间创建的dll文件。

可能和IE关联了。用sreng修复一下文件关联。
我这里也和你症状相同，什么杀毒查木马都干不掉，后来在
C:\Program Files\Internet Explorer\Connection Wizard\
找到了isignup.sys，isignup.dll,isignup.bak
在C:\Documents and Settings\Administrator\Local Settings\Temp\
里找到_xiaran.bat和helperg.exe,
删isignup.sys文件也很费劲，要先做个bat文件，里面加入
attrib "C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys" -s -h -a -r
del "C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
然后进入命令行的安全模式运行它才行，我估计是和explorer.exe关联了
你的情况和我的类似，但是具体文件名可能不同，
文件位置C:\Documents and Settings\Administrator\Local Settings\Temp\应该一样，
C:\Program Files\Internet Explorer\Connection Wizard\
可能在C:\Program Files\Internet Explorer\的其他地方，
仔细找找最近更改的.sys文件应该能发现。删掉这些就解决了。