==================================
正在运行的进程
[PID: 572][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 644][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 668][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 712][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\system32\APIHookDll.dll]  <N/A><N/A>
[PID: 724][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
    [C:\WINDOWS\system32\APIHookDll.dll]  <N/A><N/A>
[PID: 904][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\system32\APIHookDll.dll]  <N/A><N/A>
[PID: 1004][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 1136][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 1168][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 1200][C:\Program Files\Rising\Rfw\rfwsrv.exe]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 32>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\Program Files\Rising\Rfw\RfwRule.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 13>
    [C:\Program Files\Rising\Rfw\rfwlog.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 6>
    [C:\Program Files\Rising\Rfw\Rfwdrv.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 21>
    [C:\Program Files\Rising\Rfw\MonDrv.dll]  <rs><1, 0, 0, 4>
    [C:\Program Files\Rising\Rfw\ProcLib.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 9>
[PID: 1400][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.0 (XPClient.010817-1148)>
    [C:\WINDOWS\system32\APIHookDll.dll]  <N/A><N/A>
[PID: 1524][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 1576][C:\WINDOWS\System32\nvsvc32.exe]  <NVIDIA Corporation><6.14.10.7777>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 1640][C:\WINDOWS\System32\wdfmgr.exe]  <Microsoft Corporation><5.2.3790.1230 built by: dnsrv(bld4act)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 2032][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2800.1106 (xpsp1.020828-1920)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\RavExt.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 19>
[PID: 968][C:\Program Files\Rising\Rfw\RfwMain.exe]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 51>
    [C:\Program Files\Rising\Rfw\RsGuiLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 23>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\Program Files\Rising\Rfw\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [C:\Program Files\Rising\Rfw\PngDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
[PID: 1000][C:\WINDOWS\SOUNDMAN.EXE]  <Realtek Semiconductor Corp.><5.1.0.19>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
[PID: 308][C:\WINDOWS\System32\RUNDLL32.EXE]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\NvMcTray.dll]  <NVIDIA Corporation><6.14.10.7777>
    [C:\WINDOWS\System32\NVRSZHC.DLL]  <NVIDIA Corporation><6.14.10.7777>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
[PID: 324][C:\Program Files\Rising\Rav\RavTask.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 22>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\Program Files\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [C:\Program Files\Rising\Rav\RSAPPMGR.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 2>
    [C:\Program Files\Rising\Rav\CfgDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [C:\Program Files\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
[PID: 332][C:\WINDOWS\System32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
[PID: 340][C:\Program Files\Rising\Rav\Ravmon.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 1, 19>
    [C:\Program Files\Rising\Rav\RsGuiLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 24>
    [C:\Program Files\Rising\Rav\BWList.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 18>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\Program Files\Rising\Rav\RSAPPMGR.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 2>
    [C:\Program Files\Rising\Rav\CfgDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [C:\Program Files\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [C:\Program Files\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
    [C:\Program Files\Rising\Rav\PngDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
[PID: 1928][E:\Iparmor551\Iparmor.exe]  <luosoft.com><5.5.0.0>
    [E:\Iparmor551\getportlistxp.dll]  <><1, 0, 0, 1>
    [E:\Iparmor551\hookhookdll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
    [C:\Program Files\Rising\Rav\RavScrCh.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 3>
[PID: 388][C:\WINDOWS\System32\regsvr32.exe]  <Microsoft Corporation><5.1.2600.0 (XPClient.010817-1148)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 1152][C:\WINDOWS\System32\regsvr32.exe]  <Microsoft Corporation><5.1.2600.0 (XPClient.010817-1148)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
[PID: 2104][C:\Program Files\Internet Explorer\iexplore.exe]  <Microsoft Corporation><6.00.2800.1106 (xpsp1.020828-1920)>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [c:\program files\google\googletoolbar1.dll]  <Google Inc.><3, 0, 128, 1>
    [C:\WINDOWS\System32\leftup.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>
    [C:\Program Files\Rising\Rav\RavScrCh.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 3>
    [C:\WINDOWS\System32\Macromed\Flash\Flash8b.ocx]  <Macromedia, Inc.><8,0,24,0>
[PID: 1228][E:\sreng2\SREng.exe]  <Smallfrogs Studio><2.0.12.350>
    [C:\WINDOWS\System32\APIHookDll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\temp_.dll]  <N/A><N/A>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

发现广告程序.天下搜索
请先购买软件,然后点击菜单,点注册,点移动软件内广告条,释放所占资源后
可以清除此广告: c:\documents and settings\oo1\local settings\temp\~rnsetu0\iebar.exe  天下搜索
c:\documents and settings\oo1\local settings\temp\~rnsetup\iebar.exe 发现广告程序.天下搜索
请先购买软件,然后点击菜单,点注册,点移动软件内广告条,释放所占资源后
可以清除此广告: c:\documents and settings\oo1\local settings\temp\~rnsetup\iebar.exe  天下搜索
c:\WINDOWS\system32\temp_.dll 怀疑为木马.
c:\ 扫描完成.
扫描耗时:0:06:50
木马克星5.51未注册版查的..
Default.htm                  2006-5-25      扫描磁盘时发现
可疑文件Ｃ:\WINDOWS\Sytems32\temp_.dll
        Ｃ:\WINDOWS\Sytems32\NvMcTray.dll

是 flash 木马

flash 木马？ 没见过 怎么删列。。

如何删除和防范啊?瑞星防不住啊..我是安装了简单游运行时中的,是在天空软件站下的简单游1.79A.运行后不是提示有程序连接网络吗/我全点是,然后就中了.以前没有.就这几天有的,我一直用的简单游..哪位高手去看看.如何中的和如何防范...

用SREng在“启动项目”-“注册表”中删除此项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\System32\msime.exe>

http://forum.ikaka.com/topic.asp?board=28&artid=6979213下载并运行IceSword，勾选“禁止进线程创建”
用IceSword结束以下进程：
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msime.exe（如果有的话）
C:\Program Files\Rising\Rfw\RfwMain.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Rising\Rav\Ravmon.exe
E:\Iparmor551\Iparmor.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\sreng2\SREng.exe

然后用IceSword删除
C:\WINDOWS\System32\msime.exe
C:\WINDOWS\System32\temp_.dll

在IceSword主界面点击左窗口中的“SSDT”按纽
删除对应的sys文件（切记不要误删）
提示：若不能判定某个sys文件是否是可疑文件
建议用百度或GOOGLE搜索一下该sys文件的详细资料
再决定是否删除

删除完毕
把IceSword的“禁止进线程创建”前的勾去掉

附注：
使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178


重启到安全模式下清空c:\documents and settings\oo1\local settings\temp\文件夹。

天空的软件有的不可靠。。。 上次下个 智能五笔 瑞星报有木马 （下的时候我用的金山毒霸) 传给别人 被爆骂  寒~~~~~

我又去试了次.5.51木马克星为注册版扫描结果.
正在扫描...
扫描了 25个进程，
木马克星扫描结束.
没有发现木马，系统安全!


C:\WINDOWS\System32\temp_.dll文件被系统注入: [System Process] 程序
C:\WINDOWS\System32\temp_.dll文件被系统注入: C:\Program Files\Rising\Rav\Ravmon.exe 程序
C:\WINDOWS\System32\temp_.dll文件被系统注入: C:\Program Files\Rising\Rav\RavTask.exe 程序
扫描浏览器插件:c:\program files\google\googletoolbar1.dll
扫描浏览器插件:C:\WINDOWS\System32\leftup.dll
浏览器插件扫描结束
扫描了 26个进程，
木马克星扫描结束.
没有发现木马，系统安全!



C:\WINDOWS\System32\Macromed\Flash\Flash8b.ocx文件被系统注入: C:\Program Files\Internet Explorer\iexplore.exe 程序
扫描浏览器插件:c:\program files\google\googletoolbar1.dll
扫描浏览器插件:C:\WINDOWS\System32\leftup.dll
浏览器插件扫描结束
下面是扫描硬盘C的结果..
c:\WINDOWS\system32\msime.exe 怀疑为木马.
c:\WINDOWS\system32\msime.exe 怀疑为传奇木马
c:\WINDOWS\system32\msime.exe 怀疑为传奇木马
c:\WINDOWS\system32\temp_.dll 怀疑为木马.
问如何防范?一用就这样...

我又去试了次.5.51木马克星为注册版扫描结果.
正在扫描...
扫描了 25个进程，
木马克星扫描结束.
没有发现木马，系统安全!


C:\WINDOWS\System32\temp_.dll文件被系统注入: [System Process] 程序
C:\WINDOWS\System32\temp_.dll文件被系统注入: C:\Program Files\Rising\Rav\Ravmon.exe 程序
C:\WINDOWS\System32\temp_.dll文件被系统注入: C:\Program Files\Rising\Rav\RavTask.exe 程序
扫描浏览器插件:c:\program files\google\googletoolbar1.dll
扫描浏览器插件:C:\WINDOWS\System32\leftup.dll
浏览器插件扫描结束
扫描了 26个进程，
木马克星扫描结束.
没有发现木马，系统安全!



C:\WINDOWS\System32\Macromed\Flash\Flash8b.ocx文件被系统注入: C:\Program Files\Internet Explorer\iexplore.exe 程序
扫描浏览器插件:c:\program files\google\googletoolbar1.dll
扫描浏览器插件:C:\WINDOWS\System32\leftup.dll
浏览器插件扫描结束
下面是扫描硬盘C的结果..
c:\WINDOWS\system32\msime.exe 怀疑为木马.
c:\WINDOWS\system32\msime.exe 怀疑为传奇木马
c:\WINDOWS\system32\msime.exe 怀疑为传奇木马
c:\WINDOWS\system32\temp_.dll 怀疑为木马.
问如何防范?一用就这样...

参考15楼的回帖。