名称：恶意程序伪装Sys32   
文件路径：C：\WINDOWS\system32\explorer.ere
危险级别：高 
状态：重启删除
软件类别：木马
表现行为：强制安装、无法彻底删除、伪装系统程序


这个提示只有在卡卡上网安全助手上有，全盘扫描时扫描不到，而且怎么也删除不掉，急请帮忙解决

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

把它剪切出来，复制到桌面再删除看一下

用windows清理助手清理一下系统。
windows清理助手下载页面：http://www.arswp.com/download.html
———————————————————————————————————————
然后使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

你好,我的电脑所中的病毒和一楼的一样,现附上扫描后的日志,望能尽快回复,十分感谢!

抱歉,忘了详细描述:
      开机后总是跳出来adsl自动连接提示，然后会跳出以下对话框：
    瑞星个人防火墙阻止了以下程序的网络请求，详细信息如下：
    ghkt.exe
        全路经：C：\WINDOS\ghkt.exe
        协议：  TCP
        源IP：    0.0.0.0                          目标IP：    127.0.0.1
        动作：  Connect（请求连接）

  每次拒绝连接后，又会反复自动跳出来。昨晚第一次用瑞星在线查毒时查出为若干个PWS病毒，升级完瑞星并运行杀毒后显示已查找不到病毒，但依然会有上述程序不停自动跳出。

  恳请各位大侠伸出援手，万分感激！

建议使用xdelbox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\ghkt.exe
mmhadpqg1097.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\jfdses.dll
skqncbib.dll,yzztkmsn.dll,nhmxcjkl.dll
c:\windows\system32\rfdswc.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\zxmsdwin.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\kbdswjr.dll
c:\windows\system32\sgrefg.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\msobjstl.dll
c:\windows\system32\mnmhgsrv.dll
c:\windows\system32\mfdesy.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\ozfyebyt.dll
c:\windows\system32\mpwdeapi.dll
c:\windows\system32\yzztkmsn.dll
c:\windows\system32\opshcbty.dll
c:\windows\system32\apzhctde.dll
c:\windows\system32\midimapgj.dll
c:\windows\system32\cedafb.dll
c:\windows\system32\s2da2f323.dll
c:\windows\system32\rijxbkin.dll
c:\windows\system32\skqncbib.dll
c:\windows\system32\mndshsrv.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\apsggjba.dll
c:\windows\system32\pjjxedwd.dll
c:\windows\system32\yxcschlp.dll
c:\windows\system32\mtewdh.dll
c:\windows\system32\oswxdttb.dll
c:\windows\system32\zptlcsys.dll
c:\windows\system32\nhmxcjkl.dll
c:\program files\internet explorer\plugins\unixsys08.sys
c:\windows\system32\drivers\hdv32_c.sys

2.删除重启后使用sreng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[midimapwl]    <>
[{4f4f0064-71e0-4f0d-0004-708476c7815f}]    <>
[{eaa21495-29ae-4e50-8ad9-a4f877c1ab85}]    <mmhadpqg1097.dll>
[{4d165a2a-4bc1-4ca8-8299-08e05aaab5a4}]    <c:\windows\system32\tdggrz.dll>
[{81af1cf6-d1c9-4c6a-ac01-ede54e71945b}]    <c:\windows\system32\jfdses.dll>
注意该项[appinit_dlls]修改：把<skqncbib.dll,yzztkmsn.dll,nhmxcjkl.dll>修改为<>即清空
[{461d2ab4-29a5-45c2-9134-d52272d3de38}]    <c:\windows\system32\rfdswc.dll>
[{00050005-0005-0005-0005-00050005bb15}]    <c:\windows\system32\cliconfgzx.dll>
[{7a041f13-a111-12a3-b0cf-f99818aa68a7}]    <c:\windows\system32\zxmsdwin.dll>
[{841529cb-7f77-4b99-a895-b5441e0d302f}]    <c:\windows\system32\jfrwdh.dll>
[{00120012-0012-0012-0012-00120012bb15}]    <c:\windows\system32\kbdswjr.dll>
[{8c41b7f7-3168-400d-a702-0e7efe0ba304}]    <c:\windows\system32\sgrefg.dll>
[{7914e0aa-eccb-4311-b584-c49538227824}]    <c:\windows\system32\jhfrxz.dll>
[{00170017-0017-0017-0017-00170017bb15}]    <c:\windows\system32\msobjstl.dll>
[{7c8d1401-a58d-a81c-cd24-a5915c4517c7}]    <c:\windows\system32\mnmhgsrv.dll>
[{dc3d30ae-0380-4151-8934-ee98a34b0370}]    <c:\windows\system32\mfdesy.dll>
[{17dfd111-bf3a-4cb4-adb0-88fcbfe69821}]    <c:\windows\system32\hhrdxd.dll>
[{a9895933-6636-4281-bc58-ee6de2af96e3}]    <c:\windows\system32\ddserh.dll>
[{5a069845-2036-6084-9054-6087502480a5}]    <c:\windows\system32\ozfyebyt.dll>
[{55694105-5108-9405-3695-954187462155}]    <c:\windows\system32\mpwdeapi.dll>
[{b490415f-65f8-b5c5-d8ba-9405fb12054b}]    <c:\windows\system32\yzztkmsn.dll>
[{32596546-2036-9451-6058-658402589723}]    <c:\windows\system32\opshcbty.dll>
[{3d698451-2015-6358-9871-2015987452d3}]    <c:\windows\system32\apzhctde.dll>
[{4f4f0064-71e0-4f0d-0003-708476c7815f}]    <c:\windows\system32\midimapgj.dll>
[{84143967-b645-4bff-b873-da1dc886e9a7}]    <c:\windows\system32\cedafb.dll>
[{a629ff4f-acdb-5c90-a098-facb3456a26a}]    <c:\windows\system32\s2da2f323.dll>
[{25fd6584-698f-bcd2-602c-698745210352}]    <c:\windows\system32\rijxbkin.dll>
[{32023698-6984-8541-9654-698745012523}]    <c:\windows\system32\skqncbib.dll>
[{87fd640a-158f-48ac-fd14-1597f14a9778}]    <c:\windows\system32\mndshsrv.dll>
[{c0595a7e-2e2f-4b34-a83a-019270a0a464}]    <c:\windows\system32\tdffdl.dll>
[{7fd45a54-9875-698f-e56e-65102358fdf7}]    <c:\windows\system32\apsggjba.dll>
[{54fae856-ad58-20cb-a025-cd4895fa6e45}]    <c:\windows\system32\pjjxedwd.dll>
[{35671234-7890-abcd-cdef-567801237653}]    <c:\windows\system32\yxcschlp.dll>
[{189f087f-4378-405f-85fa-37d955ad7a8c}]    <c:\windows\system32\mtewdh.dll>
[{43512378-9874-5641-1025-985420368734}]    <c:\windows\system32\oswxdttb.dll>
[{50940f85-f015-14f1-a05f-f69858ac6d05}]    <c:\windows\system32\zptlcsys.dll>
[{37ac9076-c898-b098-d098-a18319080973}]    <c:\windows\system32\nhmxcjkl.dll>
[{74381dec-d78b-43e4-ba5d-5244f669ebe4}]    <c:\program files\internet explorer\plugins\unixsys08.sys>
[cliconfgzx.dll]    <c:\windows\system32\cliconfgzx.dll>
[kbdswjr.dll]    <c:\windows\system32\kbdswjr.dll>
[msobjstl.dll]    <c:\windows\system32\msobjstl.dll>
[midimapgj]    <c:\windows\system32\midimapgj.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[hdv32 / hdv32]    <\??\c:\windows\system32\drivers\hdv32_c.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <c:\windows\system32\yzztkmsn.dll>
[]    <c:\windows\system32\s2da2f323.dll>
[]    <c:\windows\system32\mndshsrv.dll>
[]    <c:\windows\system32\apsggjba.dll>
[]    <c:\windows\system32\mnmhgsrv.dll>
[]    <c:\windows\system32\zxmsdwin.dll>
[]    <c:\windows\system32\ozfyebyt.dll>
[]    <c:\windows\system32\mpwdeapi.dll>
[]    <c:\windows\system32\pjjxedwd.dll>
[]    <c:\windows\system32\zptlcsys.dll>
[]    <c:\windows\system32\oswxdttb.dll>
[]    <c:\windows\system32\apzhctde.dll>
[]    <c:\windows\system32\nhmxcjkl.dll>
[]    <c:\windows\system32\yxcschlp.dll>
[]    <c:\windows\system32\opshcbty.dll>
[]    <c:\windows\system32\skqncbib.dll>
[]    <c:\windows\system32\rijxbkin.dll>
[]    <c:\windows\system32\s2da2f323.dll>
[]    <c:\windows\system32\mndshsrv.dll>
[]    <c:\windows\system32\apsggjba.dll>
[]    <c:\windows\system32\mnmhgsrv.dll>
[]    <c:\windows\system32\zxmsdwin.dll>
[]    <c:\windows\system32\ozfyebyt.dll>
[]    <c:\windows\system32\mpwdeapi.dll>
[]    <c:\windows\system32\pjjxedwd.dll>
[]    <c:\windows\system32\zptlcsys.dll>
[]    <c:\windows\system32\oswxdttb.dll>
[]    <c:\windows\system32\apzhctde.dll>
[]    <c:\windows\system32\nhmxcjkl.dll>
[]    <c:\windows\system32\yxcschlp.dll>
[]    <c:\windows\system32\opshcbty.dll>
[]    <c:\windows\system32\skqncbib.dll>
[]    <c:\windows\system32\rijxbkin.dll>


检测到autorun项
[c:\]
[autorun]
open=system.pif
shellexecute=system.pif
shell\auto\command=system.pif
[e:\]
[autorun]
open=system.pif
shellexecute=system.pif
shell\auto\command=system.pif
[f:\]
[autorun]
open=system.pif
shellexecute=system.pif
shell\auto\command=system.pif
搜索并删除system.pif及cef盘的autorun

c:\windows\ghkt.exe隐藏了进程。