[紧急求助]大侠帮忙，我的电脑挂了。。。

昨天晚上我在我的电脑（WinXP）的“共享文档”这个文件夹下无意中发现一个名为“install.exe”的程序，一时好奇就双击了一把，这下可害惨我了。。。
这个程序一直不停地向外发送邮件，由于我装的Norton会自动扫描向外发送的邮件，所以，瞬间就弹出了无数个Norton扫描邮件的对话框，搞得我什么都做不了。。。
当我把ADSL猫关了以后，就停止发送邮件了，但是一旦我打开猫，登陆上去，那个程序就又开始向外不停的发送邮件，而且重启电脑后，这个程序会自动运行。我在任务管理器中也没有找到可疑的进程，CPU占有率也不高，内存消耗也没有异常，这是怎么回事呢？实在是太郁闷了。
我现在在网吧里发帖子向大家救助，请大家帮我诊断一下这个病毒应该怎么杀掉啊？
万分感谢！！！

说实在的,好像你发错地方呢?
你中的这个木马是有点意思的,还要根据网络的开通与否来发信,嘿嘿,那你就断网杀毒吧.

对了,忘了给你说一个软件了,这个软件有可能帮你查出是那个进程.嘿嘿!
http://www.sysinternals.com/Utilities/ProcessExplorer.html

谢谢你！这个软件会查出表现异常的进程么？
我已经做过断网杀毒了，但是Norton扫了半天也没发现什么，真是奇怪。。。

我现在就是想找到这个程序起的进程是哪一个，在任务管理器找了半天也没发现什么可疑的进程。。。

刚才那个软件可以看到详细的进程,你自己用用看嘛!!

“我的电脑（WinXP）的“共享文档”这个文件夹”中。。。
你给别人共享了？？会不会是别人放的马？？
进安全模式试杀杀吧。

http://www.greatis.com/regruns.zip 双击下载
用这人东西杀帮你搞定！

进安全模式下面
用不要网络连接的模式
再看看MSCONFIG里面的启动有没有什么可疑的
实在没办法的话
就用我经常推荐的方法吧
。。。。。。。。   重新装系统！

查找可以自启动的位置及相关的regedit键值
   

你中的很象邮件病毒W32.Chod.B@mm
他病毒长度152,204 字节，可感染Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统，是一个复合型邮件病毒，能够通过MSN传播，在计算机里设置后门，使用IRC通信工具远程控制，重写Hosts文件，屏蔽一些安全网站访问
他会创建以下文件到系统目录：
• cpu.dll
• [随机目录]csrss.dat
• [随机目录]csrss.exe
• [随机目录]csrss.ini
C 创建快捷方式ProgramsStartupcsrss.lnk到启动文件夹，使得每次开机病毒自动执行取得控制权。
D 每次执行时，病毒创建以下注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"Csrss" = "%System%[随机目录]csrss.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"Csrss" = "%System%[随机目录]csrss.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"run" = "%System%[随机目录]csrss.exe"  
使得每次开机病毒自动执行取得控制权。
E病毒创建以下注册表项，作为自身识别感染标志
HKEY_CLASSES_ROOTChode"Installed" = "1"
HKEY_CURRENT_USERSoftwareChode"Installed" = "1"
F每次开机时，删除以下注册表项关闭反病毒软等软件的执行：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunCAISafe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunccProxy
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunccPwdSvc
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunccSetMgr
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunISSVC
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMCAgentExe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunnavapsvc
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOutpostFirewall
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunPcCtlCom
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSAVScan
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSBService
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSmcService
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSPBBCSvc
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunvsmon
G 病毒修改以下注册表项先隐藏自身
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"SuperHidden" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"     
   H 从注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun里删除以下值：
TmPfw
tmproxy
Tmntsrv
net stop
sc config
start
CleanUp
MCUpdateExe
VirusScan Online
VSOCheckTask
ccApp
Symantec NetDriver Monitor
Outpost Firewall
gcasServ
pccguide.exe
KAVPersonal50
Zone Labs Client
services
microsoft antispyware
hijackthis
I 修改注册表关闭组册表编辑和管理项：
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"DisableRegistryTools" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"NoAdminPage" = "1"
J 创建以下注册表项：
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"Load" = "%System%[随机目录]csrss.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"run" = "%System%[随机目录]csrss.exe"
K 从以下扩展名的文件中搜寻邮件地址：
.adb
.asp
.cgi
.ctt
.dbx
.dhtm
.doc
.eml
.htm
.html
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.sql
.tbb
.txt
.uin
.vbs
.wab
.xml
邮件地址中包括以下内容时，不作处理,以便避开防毒软件等：
.gov
.mil
abuse
antivirus
avp
bitdefender
f-pro
f-secure
fbi
kaspersky
mcafee
messagelabs
microsoft
norton
spam
Symantec
L 发送以下内容的电子邮件传播自身：
From: (以下三种)
security@microsoft.com
security@trendmicro.com
securityresponse@symantec.com
复制自身为以下文件名
gross
my sister';s webcam
mypic
paris hilton
picture
rofl
us together
wtf
使用的扩展名
.pif
.scr
N  重写Hosts文件，屏蔽以下网站访问
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
fastclick.net
ftp.f-secure.com
ftp.sophos.com
grisoft.com
housecall.trendmicro.com
kaspersky.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
merijn.org
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
phpbb.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spywareinfo.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.avp.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.merijn.org
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.phpbb.com
www.sophos.com
www.spywareinfo.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.zonelabs.com
www3.ca.com
zonelabs.com
O 结束以下名称的内存进程，对数为反病毒软件：
bbeagle.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
d3dupdate.exe
enterprise.exe
gcasdtserv.exe
gcasserv.exe
hijackthis.exe
i11r54n4.exe
irun4.exe
isafe.exe
issvc.exe
kav.exe
kavsvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
msconfig.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
outpost.exe
pandaavengine.exe
pccguide.exe
pcclient.exe
pcctlcom.exe
penis32.exe
regedit.exe
smc.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
tmntsrv.exe
tmpfw.exe
tmproxy.exe
usrprmpt.exe
vsmon.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe
P 打开后门，让攻击的黑客远程连接进来,对计算机进行以下操作：
下载执行任意文件
安装卸载IRCD
对指定计算机进行ping, TCP, UDP拒绝服务攻击
发送任意邮件
关闭和重启计算机
用邮件传播自身
用MSN传播自身
Q 盗窃以下软件的口令
AOL Instant Messenger (in old versions)
AOL Instant Messenger/Netscape 7
GAIM
ICQ Lite 4.x/2003
Miranda
MSN Messenger
Trillian
Windows Messenger (on Windows XP)
Yahoo Messenger (Versions 5.x and 6.x)
  R 使用以下软件记录窃取口令
Intelligent TCPIP.SYS patcher
MessenPass
Protected Storage PassView
S 修改Win.ini文件
如果你发现有这些情况
就到www.viruschina.com下载升级包试下看看

没必要把这也发出来吧
我的意思可能他没看明白叫杀毒！