各位，兄弟在节日期间光荣地中毒了。祝大家节日愉快！
在发觉系统变慢以后，我就重装了系统，也重装了瑞星2007。目前版本19.43.10
在断了网线，进入安全模式下全盘查杀，确认没有病毒以后，再进入正常模式，还是会在进程中出现如下程序：
IEXPLORE32.ime、IEXPLORE32.New等4、5个程序在后面偷偷的运行。强制结束后，一会还是会弹出来。瑞星监控也经常弹出“Hack.Exploit.Script.JS.Bugexp.a”“Trojan.JS.Agent.ar 跳过脚本”的提示。在确认瑞星没有办法，万般无奈之下，到处寻医问药。听人说的就下载了一个WINDOWS 木马清道夫，安装后结果一下子找出了一串的木马程序，可是在点击杀之的时候，却告知要交费！呵呵，要是早在下载的时候知道还要掏钱，我就早免了它了。我交到瑞星手里的钱都没搞定，可不想再到处撒钱了。看看这里的热心的高手们有没有办法帮到我？先谢谢了。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; Maxthon)

下载 System Repair Engineer系统扫描工具软件，下载地址如下：
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法：
1、解压缩所下载的sreng2.zip压缩包；
2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；
3、依次按“智能扫描”、“扫描”、“保存报告”，将日志保存到硬盘上；
4、把日志扩展名改为.txt.然后以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。

按照这位热心兄弟的指导，我用这个软件扫描了我的电脑。现在上传结果，希望能得到兄弟的有效帮助，谢谢。

首先重命名以下文件
c:\windows\system32\kapjbzy.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\kvmxdma.dll
c:\windows\system32\ratbepi.dll
c:\windows\system32\kawdbzy.dll
c:\windows\system32\avwgcmn.dll
c:\windows\system32\rsmycpm.dll
然后重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （就是你扫日志的软件）
启动项目  注册表 删除如下项目
[{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}]    <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[{EE12D60D-AD9A-4095-B839-3BE6862679FD}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[{C5E87A05-F463-4841-B19E-DD3EC3862368}]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[{2A321487-4977-D98A-C8D5-6488257545A2}]    <C:\WINDOWS\system32\kapjbzy.dll>
[{4859245F-345D-BC13-AC4F-145D47DA34F4}]    <C:\WINDOWS\system32\avzxdmn.dll>
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}]    <C:\WINDOWS\system32\kvdxcma.dll>
[{4D47B341-43DF-4563-753F-345FFA3157D4}]    <C:\WINDOWS\system32\kvmxdma.dll>
[{56650011-3344-6688-4899-345FABCD1565}]    <C:\WINDOWS\system32\ratbepi.dll>
[{28907901-1416-3389-9981-372178569982}]    <C:\WINDOWS\system32\kawdbzy.dll>
[{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys74.Sys>
[{3A1247C1-53DA-FF43-ABD3-345F323A48D3}]    <C:\WINDOWS\system32\avwgcmn.dll>
[{3E32FA58-3453-FA2D-BC49-F340348ACCE3}]    <C:\WINDOWS\system32\rsmycpm.dll>


“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
2A8C0A40 / 2A8C0A40




双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击C盘（千万不要双击打开）
删除如下文件c:\program files\internet explorer\iexplore32.ime
c:\program files\internet explorer\iexplore32.jmp
c:\program files\internet explorer\iexplore32.new
c:\program files\internet explorer\iexplore32.dat
c:\program files\internet explorer\iexplore32.sys
c:\program files\internet explorer\iexplore32.win
c:\windows\system32\kapjbzy.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\kvmxdma.dll
c:\windows\system32\ratbepi.dll
c:\windows\system32\kawdbzy.dll
c:\program files\internet explorer\plugins\winsys74.sys
c:\windows\system32\avwgcmn.dll
c:\windows\system32\rsmycpm.dll
c:\windows\system32\3f650b00.exe


修改你的各种网络游戏密码（包括QQ）

以下文件希望你发送给我newcenturymoon1986@yahoo.com.cn 压缩加密123
c:\windows\system32\3f650b00.exe


附：此类病毒一般通过U盘等移动存储传播，所以如果你电脑最近有插过移动存储，那么大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒，烦请大家做好如下预防工作，不要再让这类病毒扩散了。（这种东西下载的木马很多，看日志眼都会花的）

1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

2.锁住某些注册表权限
开始－运行－输入regedit,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2，右键单击这个键，权限，把管理员的权限设置为拒绝。

3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器：http://update3.dswlab.com/antiautorun.zip

4.克服拿来陌生U盘就双击打开的方法！！！
最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入U盘（同上面清除病毒时打开磁盘分区的方法)

【回复“newcenturymoon”的帖子】
谢谢楼上热心的兄弟，可是我在执行你的步骤刚开始就遇到问题了，你让我更名的如下文件：
c:\windows\system32\kapjbzy.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\kvmxdma.dll
c:\windows\system32\ratbepi.dll
c:\windows\system32\kawdbzy.dll
c:\windows\system32\avwgcmn.dll
c:\windows\system32\rsmycpm.dll

还有你要我压缩加密并发送给你的3f650b00.exe这个文件，

我在解除了system32这个文件夹的隐藏和保护以后，却无论如何也没找到它们。是不是我操作的那里不正确?等待楼上热心的兄弟们的回复。谢谢。
我想知道，我要是在重新安装系统可不可以彻底解决？（在只格式化C盘的情况下，因为后面分区的文件很重要）。并且，我的另一台电脑好像也被感染了，看着他们在我的进程中无忌的肆虐，在下痛苦至极的向你们寻求救助。
现在，我的几个QQ号已经提示我出现登陆异常了，我的电子邮箱和EBAY帐户怎么办？会不会这些木马只针对QQ进行恶意的盗取，其他的问题不大呢？很郁闷，严重影响了我的工作。请求再施援手了，朋友。

我杀过这病毒.不用那么复杂.进入安全模式.删除相应的注册表内的项,就能顺利删除这些病毒文件.
(修改注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
下的文件,确保为初始值)
而且不会复发.
然后删除上面说到的那些"iexplore32和.DLL"的病毒文件.
如果删不掉.推荐下载<冰刃>以手工查找上面说到的那些病毒(100%肯定能找到),用普通删除,如删不了在考虑强制删除(强制删除效果不理想,可能会复发):
冰刃下载地址:
http://www.crsky.com/soft/6947.html

【回复“junaly”的帖子】
谢谢指导，可我是个菜鸟，我不懂该怎么让注册表保持初始值。所以不敢冒然修改它。难道真的用重装操作系统解决不了这个问题么？

先下载XDelbox1.5删除工具: http://bbs.duba.net/attachment.php?aid=16039019
打开XDelbox1.5把以下路径添加进去(复制下面路径然后点xdelbox右键"从剪贴板导入),然后点右键,立即重启并删除.
c:\windows\system32\kapjbzy.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\kvmxdma.dll
c:\windows\system32\ratbepi.dll
c:\windows\system32\kawdbzy.dll
c:\windows\system32\avwgcmn.dll
c:\windows\system32\rsmycpm.dll
c:\windows\system32\3f650b00.exe
如果添加不了,就是文件已经不存在.
下载 arswp清理助手: http://www.arswp.com/
打开arswp--高级模式--定制扫描--完整扫描,扫描所有文件--开始扫描.

以上的问题好像刚解决，进程不再出现IEXPLORE32.ime、IEXPLORE32.New等问题了，但是新的问题又出现了，我的QQ每天新登陆都不断提示登陆异常，要求更改密码。在屡次更改后，提示依旧。看来还是有其他木马存在。刚才，我和瑞星同时执行的WINDOWS木马清道夫实时监控状态里突然提示有packet.dll和wanpacket.dll恶意程序出现。我快崩溃了，我的瑞星永远是和我报平安无事，QQ每次登录的自检木马也提示没有异常，我现在只想问一句，那个高手可以告诉我，我要是重新安装系统的话，怎么样做才可以彻底的清除掉这些害人的玩意儿！这些亡羊补牢的办法总是让人顾此失彼！谢谢各位大侠了，赶快援手吧

现在在传上扫描的附件，供大家研究分析。（为什么在开始执行Sreng2的时候，就提示：入口点错误：FreeLibrary (危险等级: 高,  被下面模块所HOOK: 0x7170002D)？）是不是问题所在？

试着看看还有没有人理？