我在使用瑞星卡卡助手的高级功能时,发现插件管理项中有三个未知插件,无法禁用和卸载,类型为浏览器运行程序钩子,路径为:c:\windows\system32\rarjbpi.dll    c:\windows\system32\kawdbzy.dll    c:\windows\system32\kvdxscma.dll  用瑞星杀除上述三个文件，重新启动后病毒文件又出现（属性为隐藏）。用Sreng检查启动项目中注册表 AppInit_dlls 值被改为kawdbzy.dll,而且无法修改为原值。请帮忙分析解决。附Sreng扫描文件。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

再上传卡卡电脑诊断日志

一、将杀软升级到最新版本,然后到我的网盘（地址见签名）下载XDelbox1.5R.RAR，解压缩；

二、运行XDelbox1.5R.EXE，勾选“抑制再生”、“备份文件”（为误操作留条后路），复制下面的红色内容后，在下方大空白框内右键选择“从剪贴板导入”,选定下方大框内所有内容（用CTRL或SHIFT键配合鼠标左键完成）,然后在反白显示的内容上点右键,选择“立即重启并删除”；或者将下面红色内容中的每一个文件输入“添加”按钮旁边的空白框，每输完一个文件后点一下“添加”按钮，全部输完后，选定下方大框内所有内容（用CTRL或SHIFT键配合鼠标左键完成），在反白显示的内容上点鼠标右键，选择“立即重启并删除”：
C:\WINDOWS\IGM.exe
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\kvdxscma.dll
C:\WINDOWS\system32\kapjbzy.dll
C:\WINDOWS\system32\avzxdmn.dll
C:\WINDOWS\system32\raqjbpi.dll
C:\WINDOWS\system32\avwlcmn.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\rsztdpm.dll
注意：建议用前一种办法，如果出现“文件不存在”对话框请按“确定”并无视此提示,但要注意一定要选定大框内所有内容使之呈反白显示后方可右键选择“立即重启并删除”，切记！

三、重启电脑后，等待系统3秒后自动进入“GO XDELBOX……”菜单条进行DOS杀毒，杀毒后会正常登陆WINDOWS。总之，这期间不要做任何操作！

四、登陆WINDOWS后，开始--运行--输入regedit.exe--回车，进入注册表编辑器，删除以下注册表项目：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{2A321487-4977-D98A-C8D5-6488257545A2}>
    <{4859245F-345D-BC13-AC4F-145D47DA34F4}>
    <{24783410-4F90-34A0-7820-3230ACD05F42}>
    <{3960356A-458E-DE24-BD50-268F589A56A3}>
    <{2598FF45-DA60-F48A-BC43-10AC47853D52}>
    <{434345F1-DACF-3452-CB7D-4620F34A1534}>
    <{3D561258-45F3-A451-F908-A258458226D3}>
    <{28907901-1416-3389-9981-372178569982}>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      <WinSysM>

四、将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]〈AppInit_DLLs〉这个注册表值项的数值数据由kawdbzy.dll改为空（即删除kawdbzy.dll这个字符串）；

五、重启电脑进入安全模式，全盘杀毒。