svchost.exe进程一直在隐藏调用ie
一直保持4个ie进程，关掉又自动打开，没显示网页一直隐藏运行

该诊断报告由360安全卫士提供 http://www.360safe.com

诊断时间: 2009-11-08 13:35:54

诊断平台: Microsoft Windows XP Service Pack 2

IE版本: Internet Explorer V7.0.5730.11 Build:75730

计算机物理内存:1023.23MB - 当前可用内存:641.63MB

100 - 未知 - Process: FixCamera.exe [CameraFixer MFC Application] - C:\WINDOWS\FixCamera.exe

100 - 未知 - Process: tsnp325.exe [tsnp2std Microsoft ] - C:\WINDOWS\tsnp325.exe

100 - 未知 - Process: vsnp325.exe [CameraMonitor Application] - C:\WINDOWS\vsnp325.exe

100 - 未知 - Process: 360tray.exe [360安全卫士实时保护模块] -

100 - 未知 - Process: 360sd.exe [360杀毒] -

100 - 未知 - Process: 360rp.exe [360杀毒实时监控] -

100 - 未知 - Process: 360SE.exe [360安全浏览器] - C:\Program Files\360safe\360se\360SE.exe

100 - 未知 - Process: 360Safe.exe [360安全卫士] -

100 - 未知 - Process: 360安全卫士诊断工具.exe [] - C:\DOCUME~1\Administrator\Local Settings\Temp\Rar$EX00.047\360安全卫士诊断工具.exe

O3 - 未知 - Toolbar: (QQ工具栏) - [QQ工具栏] - {29CF293A-1E7D-4069-9E11-E39698D0AF95} - C:\Program Files\Tencent\QQToolbar\IEBar.dll

O4 - 未知 - HKLM\..\Run: [FixCamera] [CameraFixer MFC Application] C:\WINDOWS\FixCamera.exe

O4 - 未知 - HKLM\..\Run: [tsnp325] [tsnp2std Microsoft ] C:\WINDOWS\tsnp325.exe

O4 - 未知 - HKLM\..\Run: [snp325] [CameraMonitor Application] C:\WINDOWS\vsnp325.exe

O4 - 未知 - HKCU\..\Run: [360sd] [360杀毒] "C:\Program Files\360\360sd\360sd.exe" /autorun

O23 - 未知 - Service: 360rp [360 杀毒实时防护服务程序，实时监控病毒、木马的入侵，保护您的电脑安全] - C:\Program Files\360\360sd\360rp.exe - (running)

O23 - 未知 - Service: ias [监测新硬件设备并自动更新设备驱动程序] - C:\PROGRA~1\agyvv\atkjx.dll - (running)

O23 - 未知 - Service: Iprip [Microsoft Help Center] - C:\WINDOWS\system32\Ipripop.dll - (running)

O23 - 未知 - Service: Irmon [监测和监视新硬件设备并自动更新设备驱动。] - C:\WINDOWS\system32\Irmonapi.dll - (running)

O23 - 未知 - Service: NationalSer1.5 [Provides a domain server for NI security.1.5] - C:\WINDOWS\system32\zgifx.exe - (not running)

O23 - 未知 - Service: NETSVCS_0x0 [Microsoft Help Center NETSVCS_0x0] - C:\WINDOWS\system32\NETSVCS_0x0Ex.dll - (running)

O23 - 未知 - Service: Remote_Server_2013 [Remote Control!] - C:\Program Files\Remote\Remote.exe - (not running)

O23 - 未知 - Service: SbieSvc [Sandboxie Service] - C:\Program Files\360safe\Shield\SbieSvc.exe - (not running)

O23 - 未知 - Service: scan [360 杀毒全盘扫描辅助服务] - C:\Program Files\360\360sd\Scan.dll - (not running)

O23 - 未知 - Service: ZhuDongFangYu [360主动防御的服务项，提供实时保护、文件变化监控、智能扫描加速等功能。关闭此服务可能导致木马防不住、查不出，严重降低木马扫描速度。] - "C:\Program Files\360\360Safe\deepscan\zhudongfangyu.exe" - (not running)

=======================================

100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe

100 - 安全 - Process: csrss.exe [客户端服务子系统，用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base

100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe

100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe

100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe

100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch

100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss

100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs

100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService

100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService

100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序，用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe

100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面和文件管理。] - C:\WINDOWS\Explorer.EXE

100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k NETSVCS

100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k imgsvc

100 - 安全 - Process: iexplore.exe [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\IEXPLORE.EXE

100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe

100 - 安全 - Process: taskmgr.exe [windows自带的任务管理器程序，用于察看系统中的进程信息。] - C:\WINDOWS\system32\taskmgr.exe

100 - 安全 - Process: iexplore.exe [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\IEXPLORE.EXE

100 - 安全 - Process: iexplore.exe [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\IEXPLORE.EXE

100 - 安全 - Process: iexplore.exe [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\IEXPLORE.EXE

100 - 安全 - Process: WinRAR.exe [一款解压缩软件，支持.rar和.zip等格式。] - C:\Program Files\WinRAR\WinRAR.exe

100 - 安全 - Process: iexplore.exe [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\IEXPLORE.EXE

O4 - 安全 - HKLM\..\Run: [NvCplDaemon] [是NVIDIA显示卡相关动态链接库文件。] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - 安全 - HKLM\..\Run: [360Safetray] [360safe实时保护功能模块。] "C:\Program Files\360\360Safe\safemon\360tray.exe" /start

O4 - 安全 - Startup folder: [QQ游戏启动加速程序.lnk] [qq游戏启动加速相关程序。] C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\QQ游戏启动加速程序.lnk

O23 - 安全 - Service: 6to4 [在IP4网络上提供IPv6连接的服务。] - C:\WINDOWS\System32\6to4svc.dll - (not running)

O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\system32\nvsvc32.exe - (not running)

=======================================

O31 - 未知 - SEApproved: 无效的CLSID：Shell extensions for file compression - - - - - 0 -

O31 - 未知 - SEApproved: 无效的CLSID：加密上下文菜单 - - - - - 0 -

O31 - 未知 - SEApproved: {0DF44EAA-FF21-4412-828E-260A8728E7F1} - - - - - 0 -

O31 - 未知 - SEApproved: {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} - - - - - 0 -

O31 - 未知 - SEApproved: {7A9D77BD-5403-11d2-8785-2E0420524153} - - - - - 0 -

O31 - 未知 - SEApproved: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll - - - - 126464 - 14985b448fe55684b25b0356913c23c1

O31 - 未知 - SEApproved: {1CDB2949-8F65-4355-8456-263E7C208A5D} - C:\WINDOWS\system32\nvshell.dll - - - 6.14.10.11014 - 466944 - 27bc5fa5668bed5253d8fbc9e1b50e47

O31 - 未知 - SEApproved: {1E9B04FB-F9E5-4718-997B-B8DA88302A47} - C:\WINDOWS\system32\nvshell.dll - - - 6.14.10.11014 - 466944 - 27bc5fa5668bed5253d8fbc9e1b50e47

O31 - 未知 - SEApproved: {1E9B04FB-F9E5-4718-997B-B8DA88302A48} - C:\WINDOWS\system32\nvshell.dll - - - 6.14.10.11014 - 466944 - 27bc5fa5668bed5253d8fbc9e1b50e47

O31 - 未知 - SEApproved: {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} - C:\Program Files\Real\RealPlayer\rpshell.dll - RealNetworks, Inc. - RealPlayer Shell Extensions - 1.0.1.2156 - 49198 - 9ac5a66c293fef3858f442589e4b33eb

O31 - 未知 - SEApproved: {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} - C:\Program Files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll - Nokia - Phone Browser - 6.83.74.9 - 576512 - 14b7e5ce5ab47cc1d31d67a13d97668e

O31 - 未知 - SEApproved: {1D2680C9-0E2A-469d-B787-065558BC7D43} - C:\WINDOWS\system32\mscoree.dll - Microsoft Corporation - Microsoft .NET Runtime Execution Engine - 2.0.50727.832 - 271360 - e0133890ca7f08b48b5d8d09b7c3d82d

O31 - 未知 - SEApproved: 无效的CLSID：ChmDecompiler Shell Extension - - - - - 0 -

O31 - 未知 - SEApproved: 无效的CLSID： - - - - - 0 -

O31 - 未知 - SEApproved: {e82a2d71-5b2f-43a0-97b8-81be15854de8} - C:\WINDOWS\system32\dfshim.dll - Microsoft Corporation - Application Deployment Support Library - 2.0.50727.42 - 83456 - b3511383c8be3a8c5b88a78971fc1141

O31 - 未知 - SEApproved: {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} - C:\WINDOWS\system32\dfshim.dll - Microsoft Corporation - Application Deployment Support Library - 2.0.50727.42 - 83456 - b3511383c8be3a8c5b88a78971fc1141

O31 - 未知 - SEApproved: 无效的CLSID：安天防线 - - - - - 0 -

O31 - 未知 - Directory Menu: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll - - - - 126464 - 14985b448fe55684b25b0356913c23c1

O31 - 未知 - Directory Menu: 无效的CLSID：金山毒霸 2007 - - - - - 0 -

O31 - 未知 - Directory Menu: 无效的CLSID：金山毒霸2007 - - - - - 0 -

O31 - 未知 - BootExecute: autocheck xmnt2002 /bat="C:\WINDOWS\TEMP\PQ_BATCH.PQB" /win="C:\WINDOWS" /dbg="C:\WINDOWS\TEMP\PQ_DEBUG.TXT" /ver=262144 - - - - 0 -

O31 - 未知 - BootExecute: utocheck autochk * - - - - 0 -

O31 - 未知 - LSA: Security Packages - sv1_0.dll - - - - 0 -

O31 - 未知 - LSA: Security Packages - channel.dll - - - - 0 -

=======================================

O40 - svchost.exe - - c:\windows\system32\irmonapi.dll - - b6251e3160689f8974a1550455213dba

O40 - svchost.exe - Kaspersky Lab - c:\windows\system32\ipripop.dll - Kaspersky Anti-Banner helper component - 9987f67b0fa7f54a0ff7da2e49f7e8a8

O40 - svchost.exe - - c:\progra~1\agyvv\atkjx.dll - - 501aa0a58bc60977a839b63558ab5f68

O40 - Explorer.EXE - Nokia - C:\Program Files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll - Phone Browser - 14b7e5ce5ab47cc1d31d67a13d97668e

O40 - Explorer.EXE - Nokia - C:\Program Files\Nokia\Nokia PC Suite 6\PCSCM.dll - PC Suite Common Modules - 5061b30a831cd8f25a9a8da155276214

O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\MSVCP71.dll - Microsoft? C++ Runtime Library - 561fa2abb31dfa8fab762145f81667c2

O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\MSVCR71.dll - Microsoft? C Runtime Library - 86f1895ae8c5e8b17d99ece768a70732

O40 - svchost.exe - Kaspersky Lab - c:\windows\system32\netsvcs_0x0ex.dll - Kaspersky Anti-Banner helper component - 4841094e1f82dc1fd4bb4f05fe7b31b7

=======================================

O41 - QKeyService - KeyCrypt Device Driver - C:\WINDOWS\system32\KeyCrypt.sys - (running) - KeyCrypt Device Driver - Tencent Technology (Shenzhen) Company Limited - 86aadf81964cc6c4c8ce9d27a7a0c533

O41 - AMoniterDriver - AMoniterDriver - C:\Program Files\Antiy Labs\AModule\AMonitorDriver.sys - (not running) - - -

O41 - Antiy-Product-Protect - Antiy-Product-Protect - C:\Program Files\Antiy Labs\AModule\ProAntiy.sys - (not running) - - -

O41 - AntiyFirewall - AntiyFirewall - C:\WINDOWS\system32\drivers\AntiyFW.sys - (not running) - - -

O41 - ASTDriver - ASTDriver - C:\Program Files\ast\ASTDriver.sys - (not running) - - -

O41 - ASTTools - ASTTools - C:\Program Files\ast\ASTTools.sys - (not running) - - -

O41 - LongRADrv - LongRADrv - C:\Program Files\cloud\LongRADrv.sys - (not running) - - -

O41 - NTSIM - Network Device Monitor Utility - C:\WINDOWS\system32\ntsim.sys - (not running) - Network Device Monitor Utility - VIA Networking Technologies, Inc. - a568b9a9ffe2d9387222a5c90f86d731

O41 - SbieDrv - SbieDrv - C:\Program Files\360safe\Shield\SbieDrv.sys - (not running) - - -

O41 - SNP325 - USB PC Camera driver - C:\WINDOWS\system32\drivers\snp325.sys - (not running) - USB PC Camera driver - Sonix Co. Ltd. -

=======================================

[userinit.exe情况]

MD5: 945D27698CF09CF29EF9777160EE501D

文件大小: 23552

版本信息: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

是否签名: 否!!!!!

未被感染

=======================================

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;); .NET CLR 1.1.4322; .NET CLR 2.0.50727; 360SE)

下载SRENG工具然后扫描日志，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx
日志文件以附件形式发来
点击贴子右下角的“编辑”,然后就知道怎么发附件了

.。

文件提取处理器.rar
右键-=====目标另存为
解压缩后用批量提取工具
复制以下内容并执行提取操作
提取前在桌面上新建一个文件夹，用于存放提取的文件
提取到那文件夹后将那文件夹用WinRAR压缩后附件上传

C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\WINDOWS\system32\userinit.exe
C:\PROGRA~1\agyvv\atkjx.dll
c:\windows\system32\irmonapi.dll
E:\qq\Bin\MSIMG32.dll
c:\windows\system32\ipripop.dll
C:\WINDOWS\System32\sfc_os.dll


以上文件未必代表是病毒，只是可疑
========================================================
                                    传说中的分割线
其中C:\WINDOWS\system32\userinit.exe的签名[Microsoft Corporation]未通过Verified【验证】

本人利用process explorer软件关闭C:\PROGRA~1\agyvv\atkjx.dll
模块，症状解除