最近system32中老是查出Trojan.PSW.Win32.XYOnline.aec，无法根除，每次都是说删除成功，结果在次查杀仍然存在。文件名显示为d32dx9.sys。之前总是有两个病毒，也是Trojan.PSW.Win32.XYOnline.aec，只不过在系统备份文件件中，关了系统还原就没有再出现过。可这个在system32中的就是无法根除。请求大侠们指点迷津，是不是瑞星能力不够还是我方法不对，之前都是在安全模式下进行的查杀。还有就是想请问一下这个病毒到底有什么危险。现在我每次启动系统的时候都会弹出一个要我去什么易网络下载什么数据库文件，然后系统也会在开机时弹出一个缺少xdurtdj9x.dll无法加载的提示框，点确定之后还是正常进入系统，其它还没有发现什么明显的问题。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)

点击下载System Repair Engineer系统扫描工具软件
建议直接下载保存到系统文件夹内
扫描和上传日志的方法：
1、解压缩所下载的"sreng980.rar"压缩包；
2、打开已经解压缩的"SREng980"文件夹，双击运行其中的"我爱新郎.com"；
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”，将日志保存到桌面上；
4、把保存在桌面上的日志文件以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。

开机查毒.jpg (1339.88 K)

2008-6-4 12:08:41

开机后提示框.jpg (1236.07 K)

2008-6-4 12:08:41

版主你好，谢谢对我提出的问题给出了建议，我已经按你提出的建议下载了sreng980.rar，并在windows文件夹中解压运行扫描，这是你提出需要的日志文件！希望对问题的最终解决有帮助。
ps：在最近几次开机扫描和开机后扫描system32文件夹都发现该病毒，且时常开机后系统会对C盘进行整理，貌似非正常关机。然后在进入系统前弹出缺少xdurtdj9x.dll无法加载的提示框和一个要我去什么易网络下载什么数据库文件。我附图上来希望你能给点建议如何消除这种无法正常开机的问题。对了，shift+ctrl的输入切换好像也被屏蔽了,真是的！

版主你好，说一下最新的状况，在开机查毒的时候已经查不到Trojan.PSW.Win32.XYOnline.aec了，在进入系统后用瑞星对system32进行扫描也查不到。但是开机弹出那几个提示框的情况仍然存在，而且每次开机都要对C盘进行自检一下。

进程中结束wuauclt.exe，然后复制c:\windows\system32\dllcache\wuauclt.exe文件粘贴到c:\windows\system32\文件夹内，提示替换时选“是”

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\progra~1\tencent\ssplus\splus1.dll
c:\windows\soundman.exe
c:\windows\system32\mmdxybqe1034.dll
C:\WINDOWS\system32\gpr11.exe
c:\progra~1\tencent\ssplus\splus1.dll
c:\windows\system32\wcertvca.exe,
c:\windows\system32\mxavpw0.dll
c:\windows\system32\midimapzt.dll
c:\windows\system32\midimapmy.dll
c:\windows\system32\ptjhehlp.dll
c:\windows\system32\midimapcq.dll
c:\windows\system32\midimapwd.dll
c:\windows\system32\midimapms.dll
c:\windows\system32\midimapzx.dll
c:\windows\system32\midimaptl.dll
c:\windows\system32\ozfydbyt.dll
c:\windows\system32\midimapwl.dll
c:\windows\system32\zywmfime.dll
c:\windows\system32\midimapjr.dll
c:\windows\system32\apsgdjba.dll
c:\windows\system32\oohxdbyt.dll
c:\windows\system32\yxcschlp.dll
e:\program files\coosoft\cool calendar\coolcalendar.exe
c:\windows\system32\pjjxddwd.dll
c:\windows\system32\wfrdvq.dll
c:\windows\system32\tisqatyu.dll
c:\windows\system32\opshbbty.dll
c:\windows\system32\hfrdzx.dll
c:\windows\system32\zycbdime.dll
c:\windows\system32\midimapqn3.dll
c:\windows\system32\rijxakin.dll
c:\windows\system32\zdesfx.dll
c:\windows\system32\nhmxajkl.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\lofsdjbo.dll
c:\windows\system32\yxfhcjpg.dll
c:\windows\system32\rijxbkin.dll
C:\Program Files\Windows Media Player\comma.dll
c:\documents and settings\all users\「开始」菜单\程序\启动\ieplus.exe
c:\windows\system32\boercservice8.exe
c:\windows\system32\spted.dll
c:\windows\system32\interne.exe
c:\windows\system32\wbem\irjit.dll
c:\023bee1877e497f1.dat
c:\windows\system32\d32dx9.sys
c:\windows\system32\drivers\stwlfbus.sys
c:\windows\system32\drivers\st3wolf.sys
c:\windows\system32\drivers\ssipddp.sys
c:\windows\\systemroot\system32\drivers\qerbrbl.sys
c:\windows\system32\drivers\puobs1.sys
c:\docume~1\ws\locals~1\temp\tmp4.tmp
c:\docume~1\ws\locals~1\temp\tmp6.tmp
c:\windows\system32\drivers\msosmsp2p32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\docume~1\ws\locals~1\temp\tmp3.tmp
c:\windows\system32\drivers\hugmk2.sys
c:\windows\system32\drivers\hdv32_c.sys
c:\windows\system32\drivers\ftkswm94.sys
c:\windows\system32\drivers\fs56lfhdt.sys
c:\docume~1\ws\locals~1\temp\tmp3.tmp
c:\docume~1\ws\locals~1\temp\tmp6.tmp
c:\docume~1\ws\locals~1\temp\tmp2.tmp
c:\cfc6a88c945ff281.dat
c:\program files\internet explorer\iexplore32.dat
c:\windows\downlo~1\sxcgy.dll
c:\program files\internet explorer\iexplore32.sys
c:\program files\internet explorer\iexplore32.win
c:\program files\internet explorer\plugins\nt_sys32.sys
c:\windows\system32\ssup.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[SoundMan] 
[{e96c6d84-63ce-4046-a18d-45cb4ad8ec75}] 
[SoundMan]   
[KnightIII]   
[stup.exe] 
注意该项[shell]修改：把<Explorer.exe,gpr11.exe>修改为<Explorer.exe>即清除Explorer.exe后面的内容
注意该项[Userinit]修改：把<userinit.exe,C:\WINDOWS\system32\wcertvca.exe,>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略
[{3E387664-C799-4D62-B196-25776EF35C51}] 
[{4F4F0064-71E0-4f0d-0001-708476C7815F}] 
[{4F4F0064-71E0-4f0d-0015-708476C7815F}] 
[{528DF602-9541-A985-210A-984A698C6F25}] 
[{4F4F0064-71E0-4f0d-0023-708476C7815F}] 
[{4F4F0064-71E0-4f0d-0018-708476C7815F}] 
[{4F4F0064-71E0-4f0d-0014-708476C7815F}] 
[{4F4F0064-71E0-4f0d-0005-708476C7815F}] 
[{4F4F0064-71E0-4f0d-0017-708476C7815F}] 
[{4A069845-2036-6084-9054-6087502480A4}] 
[{4F4F0064-71E0-4f0d-0004-708476C7815F}] 
[{6319A1F1-9410-9654-3201-345FFA349136}] 
[{4F4F0064-71E0-4f0d-0012-708476C7815F}] 
[{4FD45A54-9875-698F-E56E-65102358FDF4}] 
[{5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5}] 
[{35671234-7890-ABCD-CDEF-567801237653}] 
[CoolCalendar] 
[{44FAE856-AD58-20CB-A025-CD4895FA6E44}]   
[{6BBAA1E6-CF54-4139-AB9C-8491A9F909D7}]   
[{18093456-9012-4568-9076-908765467181}]   
[{22596546-2036-9451-6058-658402589722}]   
[{1DB3C525-5271-46F7-887A-D4E1ADAA7632}]   
[{4A698102-5904-AFD0-20DF-CD1A65829CA4}]   
[{4F4F0064-71E0-4f0d-0022-708476C7815F}]   
[{15FD6584-698F-BCD2-602C-698745210351}]   
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]   
[{17AC9076-C898-B098-D098-A18319080971}]   
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}]   
[{470165F1-9F65-569F-F895-F14F58F41074}]   
[{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}]   
[{25FD6584-698F-BCD2-602C-698745210352}]   
[midimapzt] 
[midimapmy] 
[midimapcq] 
[midimapwd] 
[midimapms] 
[midimapzx] 
[midimaptl] 
[midimapwl] 
[midimapjr] 
[midimapqn3] 
[IFEO[360Loader.exe]] 
[IFEO[360safebox.exe]] 
[IFEO[IceSword]]   
[IFEO[KPPMain.exe]] 
[IFEO[ras]]   
[IFEO[runiep]] 
[IFEO[safeboxTray.exe]]   
[IFEO[tqat.exe]] 

    启动项目 －－　启动文件夹之如下项删除：
[IEPlus] 

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Boerserver8 / Boerserver8]       
[Cryptographic Machine / Patterns]
[Help and Support / helpsvc]     
[Distributed Application Client / SHipING] 

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[023bee1877e497f1 / 023bee1877e497f1]   
[HiddFldy / HiddFldy] 
[stwlfbus / stwlfbus]   
[st3wolf / st3wolf] 
[SSIPDDP / SSIPDDP]   
[qerbrbl / qerbrbl]   
[puobs1 / puobs1]   
[ptfs / ptfs] 
[ping / ping]   
[msp2p32 / msp2p32] 
[msfpfis64 / msfpfis64] 
[mhfp / mhfp] 
[hugmk / hugmk2] 
[Hdv32 / Hdv32]       
[ftkswm9 / ftkswm94]   
[fs56lfhdt / fs56lfhdt]
[fmsq / fmsq]   
[drop / drop]   
[dohs / dohs]   
[cfc6a88c945ff281 / cfc6a88c945ff281] 

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[NidUkcky Class]    <C:\WINDOWS\DOWNLO~1\sxcgy.dll>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[]    <C:\WINDOWS\system32\yxfhcjpg.dll>
[]    <C:\WINDOWS\system32\zywmfime.dll>
[]    <C:\WINDOWS\system32\oohxdbyt.dll>
[]    <C:\WINDOWS\system32\ptjhehlp.dll>
[]    <C:\WINDOWS\system32\apsgdjba.dll>
[]    <C:\WINDOWS\system32\zycbdime.dll>
[]    <C:\WINDOWS\system32\ozfydbyt.dll>
[]    <C:\WINDOWS\system32\lofsdjbo.dll>
[]    <C:\WINDOWS\system32\pjjxddwd.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys>
[]    <C:\WINDOWS\system32\yxcschlp.dll>
[]    <C:\WINDOWS\system32\rijxbkin.dll>
[]    <C:\WINDOWS\system32\opshbbty.dll>
[]    <C:\WINDOWS\system32\tisqatyu.dll>
[]    <C:\WINDOWS\system32\nhmxajkl.dll>
[]    <C:\WINDOWS\system32\rijxakin.dll>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[]    <C:\WINDOWS\system32\yxfhcjpg.dll>
[]    <C:\WINDOWS\system32\zywmfime.dll>
[]    <C:\WINDOWS\system32\oohxdbyt.dll>
[]    <C:\WINDOWS\system32\ptjhehlp.dll>
[]    <C:\WINDOWS\system32\apsgdjba.dll>
[]    <C:\WINDOWS\system32\zycbdime.dll>
[]    <C:\WINDOWS\system32\ozfydbyt.dll>
[]    <C:\WINDOWS\system32\lofsdjbo.dll>
[]    <C:\WINDOWS\system32\pjjxddwd.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys>
[]    <C:\WINDOWS\system32\yxcschlp.dll>
[]    <C:\WINDOWS\system32\rijxbkin.dll>
[]    <C:\WINDOWS\system32\opshbbty.dll>
[]    <C:\WINDOWS\system32\tisqatyu.dll>
[]    <C:\WINDOWS\system32\nhmxajkl.dll>
[]    <C:\WINDOWS\system32\rijxakin.dll>
[]    <C:\WINDOWS\system32\SSup.dll>
[]    <C:\WINDOWS\system32\SSup.dll>

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

然后参考：
http://bbs.ikaka.com/showtopic-8508653.aspx

将补丁打上

版主你好，谢谢您的详细建议。我在进程中没有发现wuauclt.exe，会不会在隐藏进程中，那如何关闭呢。如果不是在隐藏进程中我是不是可以跳过第一步直接进行下面的操作?

人家忘记加一句了：

没进程，就直接去替换文件。

斑竹，实在不好意思，经过一系列的清理后，现在出了一个严重的问题，除了QQ登陆，其他网络连接都不能用了。我在家用的是ADSL拨号上网，现在拨号没有问题，但IE都无法打开，所以以IE为默认的网络连接都无法运行。我把最新的扫描日志发上来，希望能给我点建议。
PS：在依照新郎斑竹的清理方法进行清理中发现一些问题：在启动项目-注册表项的修改中，[shell]项没有找到；[Userinit]没法修改成<C:WINDOWS\system32\userinit.exe,>,手动修改改不掉，每次重新刷新都会提示我是否让SREng自动修改这个，即使让SREng自动修改,也是没有作用.
        我用KAKA助手在启动项目里也查到注册表里C:\WINDOWS\system32\userinit.exe和C:\WINDOWS\system32\wcertvca.exe并列,我关掉C:\WINDOWS\system32\wcertvca.exe在重启后会出现一个新的C:\WINDOWS\system32\wcertvca.exe
        我的瑞星更新到昨天,没有查到任何病毒

C:\WINDOWS\system32\ShellHook.dll
C:\Program Files\Windows Media Player\comma.dll
上面两文件是什么呢？？？
找来xxx坛上来看看呢

下面这项的修改，必须得关闭杀毒软件的监控才能修改呢。

启动项目
注册表
    <Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wcertvca.exe,>  [File is missing]

下面这几项也不认识。
==================================
浏览器加载项
[YOKHttpFilter Class]
  {686D3343-D00D-49A1-96DF-66F3AF62F348} <C:\Program Files\yok\adblock.dll, N/A>

[YOKAdBlock Class]
  {718F4AD3-70D4-425E-9159-5598DFC732ED} <C:\Program Files\yok\adblock.dll, N/A>

[PrjZKBaiduBHO.ZKBaiduBHO]
  {BBF3E65D-762A-41AC-BFDA-7C6D97E65A73} <C:\WINDOWS\system32\ZKBaiduBHO.dll, zcom>
N/A>

至于修改操作等，可以去看我置顶贴：
http://bbs.ikaka.com/showtopic-8442813.aspx