前几天中了病毒，中病毒后就发现进程中出现了rundll32.exe的进程，没中毒前只是在刚开机时加载一下，然后就自动结束了，我知道RUNDLL43。EXE是动态连接库的文件，但他不该始终在进程中，杀完毒后这个进程始终在，结束掉一会又自动出现，我检查了该进程的模块，没有发现有哪个是病毒的，在C:\WINDOWS\prefetch文件夹中有不少rundll32.exe的PF文件，其中就有我中毒时生成的和这个有关吗？ 该进程的模块有
0x7C920000, C:\WINDOWS\system32\ntdll.dll                0x7C800000, C:\WINDOWS\system32\kernel32.dll            0x77BE0000, C:\WINDOWS\system32\msvcrt.dll    0x77EF0000, C:\WINDOWS\system32\GDI32.dll            0x77D10000, C:\WINDOWS\system32\USER32.dll            0x76C60000, C:\WINDOWS\system32\IMAGEHLP.dll    0x5CC30000, C:\WINDOWS\system32\ShimEng.dll        0x58FB0000, C:\WINDOWS\AppPatch\AcGenral.DLL        0x77DA0000, C:\WINDOWS\system32\ADVAPI32.dll  0x77E50000, C:\WINDOWS\system32\RPCRT4.dll        0x77FC0000, C:\WINDOWS\system32\Secur32.dll            0x76B10000, C:\WINDOWS\system32\WINMM.dll      0x76990000, C:\WINDOWS\system32\ole32.dll              0x770F0000, C:\WINDOWS\system32\OLEAUT32.dll        0x77BB0000, C:\WINDOWS\system32\MSACM32.dll    0x77BD0000, C:\WINDOWS\system32\VERSION.dll        0x7D590000, C:\WINDOWS\system32\SHELL32.dll          0x77F40000, C:\WINDOWS\system32\SHLWAPI.dll    0x759D0000, C:\WINDOWS\system32\USERENV.dll        0x5ADC0000, C:\WINDOWS\system32\UxTheme.dll              0x76300000, C:\WINDOWS\system32\IMM32.DLL    0x62C20000, C:\WINDOWS\system32\LPK.DLL              0x73FA0000, C:\WINDOWS\system32\USP10.dll                0x6D710000, c:\progra~1\kasper~1\kasper~1\mzvkbd.dll    0x76BC0000, C:\WINDOWS\system32\PSAPI.DLL          0x6D730000, c:\progra~1\kasper~1\kasper~1\mzvkbd3.dll            0x77180000,C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll                              0x5D170000, C:\WINDOWS\system32\comctl32.dll      0x00A30000, C:\WINDOWS\system32\BTMEW.dll            0x71A40000, C:\WINDOWS\system32\WSOCK32.DLL      0x71A20000, C:\WINDOWS\system32\WS2_32.dll        0x71A10000, C:\WINDOWS\system32\WS2HELP.dll            0x74680000, C:\WINDOWS\system32\MSCTF.dll      0x73640000, C:\WINDOWS\system32\msctfime.ime    0x76FA0000, C:\WINDOWS\system32\CLBCATQ.DLL    0x77020000, C:\WINDOWS\system32\COMRes.dll      0x7E550000, C:\WINDOWS\system32\shdocvw.dll      0x765E0000, C:\WINDOWS\system32\CRYPT32.dll          0x76DB0000, C:\WINDOWS\system32\MSASN1.dll      0x75430000, C:\WINDOWS\system32\CRYPTUI.dll      0x76C00000, C:\WINDOWS\system32\WINTRUST.dll    0x5FDD0000, C:\WINDOWS\system32\NETAPI32.dll    0x76680000, C:\WINDOWS\system32\WININET.dll      0x76F30000, C:\WINDOWS\system32\WLDAP32.dll      0x20000000, C:\WINDOWS\system32\xpsp2res.dll    0x75E00000, C:\WINDOWS\system32\SXS.DLL
0x719C0000, C:\WINDOWS\system32\mswsock.dll    0x76EF0000, C:\WINDOWS\system32\DNSAPI.dll          0x76D30000, C:\WINDOWS\system32\iphlpapi.dll
0x0FFD0000, C:\WINDOWS\system32\rsaenh.dll    0x76F90000, C:\WINDOWS\system32\rasadhlp.dll



那位朋友帮忙看看吧，受累了。谢谢啊。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

如果发现大量的rundll32.dll文件，按照我的经验判断，通常都是中了MS08-067系列的病毒了。
需要打上所有系统补丁，并升级杀毒软件到最新版本断网杀毒。

PF文件是预读取文件，不会是病毒的。

楼主如果怀疑rundll32.exe  有问题 可以将你检查出来的所有dll 文件 上传到这http://www.virustotal.com/zh-cn/  多引擎检测下

二楼的朋友那我这些模块都正常吗？

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      14:56:01, 日期 2009-8-13
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v4.27 SP2 (4.27.0000.0009)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
E:\下载\深度通达信精选版\jcb_ck\TdxW.exe
D:\Tencent\QQ\QQ.exe
D:\Tencent\QQ\TXPlatform.exe
C:\WINDOWS\system32\conime.exe
D:\dzh\internet\hypmain.exe
C:\Program Files\Tencent\TT\bin\TTraveler.exe
C:\WINDOWS\system32\rundll32.exe
E:\2535952005811174944\HijackThis1991zww.exe

O2 - BHO: ThunderBHO - {00000000-12C8-4305-82F9-43058F20E8D2} - D:\Thunder Network\Thunder\ComDlls\XunLeiBHO_006.dll
O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - C:\Program Files\Tencent\QQDownload\QQIEHelper01.dll (file missing)
O2 - BHO: SearchHook Class - {00000001-FB22-4A4E-8AB8-C85CFAB14626} - C:\PROGRA~1\snav\Snav.dll (file missing)
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - d:\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {B3C4C5D6-D5D5-8080-91A2-3B3B3D5D5E6F} - C:\WINDOWS\system32\BTMEW.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - d:\Kingsoft\FastAIT\IEBand.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - 启动项HKLM\\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - 启动项HKLM\\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用BitComet下载 - res://D:\BitComet\BitComet.exe/AddLink.htm
O8 - IE右键菜单中的新增项目: &使用BitComet下载全部链接 - res://D:\BitComet\BitComet.exe/AddAllLink.htm
O8 - IE右键菜单中的新增项目: &使用BitComet下载本页视频 - res://D:\BitComet\BitComet.exe/AddVideo.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Thunder Network\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Thunder Network\Thunder\Program\getallurl.htm
O9 - 浏览器额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: 网页流量保护状态 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://tomatolei.com (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://d:\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CDC816C-DB91-45F8-83F7-9F91EBC8A75C}: NameServer = 202.100.96.68 222.75.152.129
O20 - AppInit_DLLs: C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll,apihookdll.dll,c:\progra~1\kasper~1\kasper~1\mzvkbd.dll,c:\progra~1\kasper~1\kasper~1\mzvkbd3.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - NT 服务: Kaspersky Anti-Virus (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" -r (file missing)
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - NT 服务: iPod 服务 (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - d:\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

抱歉，通过这样看我可看不出来。
感染Worm.Win32.MS08-067或Hack.Exploit.Win32.MS08067系列病毒。
此种病毒其实只需要修补MS08-067补丁，使用瑞星最新版本进行查杀，即可彻底清除。
但有些系统明明已经打过此补丁，但仍旧反复感染此病毒。
这里就需要首先检查一下系统是否真的打上了这个补丁文件。

咱们可查看染毒计算机windows\system32目录下是否存在netapi32.dll文件。
windows2000 sp4系统下，此文件的版本应该为:5.0.2195.7203
windows xp sp2/sp3系统下，此文件的版本为:5.1.2600.3462/5694
windows 2003 SP1/SP2系统下，此文件版本为：5.2.3790.3229/4392
windows 2008 vista系统下，此文件版本为：6.0.6000.16764；6.0.6000.20937；6.0.6001.18157；6.0.6001.22288
如果版本正确说明系统已经成功修补了此漏洞，升级瑞星至最新版本，可以彻底根除。
若没有此文件或者版本不符，说明此补丁没有打上或者没有打全，建议在控制面板-添加删除程序中将其卸载，而后重新修补漏洞。

看看计划任务
是否正常？

谢谢阿福啊，我装了个金山急救箱清理后，RUNDLL32。EXE不随系统启动了，但是又多了两个金山的进程，呵呵，真不知道这些软件制造者是怎么想的，安装后非要人卸载它吗，不随系统启动多好。