之所以进行分析，是因为：
　　1.前天的系统启动项突然多了个“_IS_ISC    RUNDLL32 C:\WINDDOWS\Downlo~1\_IS_ISC.DLL,isc”，该项用msconfig禁止无效，用upiea禁止也无效。
　　同时系统启动项还多了好几个既名称又无路径的“空”项目。
　　2.进程中多了一个“advapi32.exe”。
　　
　　俺用killbox删除“C:\WINDDOWS\Downlo~1\_IS_ISC.DLL”后那个启动项终于可以禁止了，其它几个“空”启动项也可以禁止，暂时看起来恢复正常，只是关机时系统有个高音报警。
　　谢谢啦！！！




Logfile of HijackThis v1.99.1
Scan saved at 22:28:28, on 2005-07-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\PROGRA~1\KV2005\KVSrvXP_1.exe
G:\Program Files\KV2005\kvwsc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
G:\Program Files\KV2005\KVMonXP.kxp
C:\WINDOWS\system32\ctfmon.exe
E:\木马查杀\KillBox\hijackthis\HijackThis.exe

O2 - BHO: EyeOnBrowser Class - {1272F701-349D-4DB3-BBCD-10CBDCD049FE} - C:\WINDOWS\Downlo~1\_IS_WEBH.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - (no file)
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - (no file)
O2 - BHO: IeCapture Class - {67B6599D-1ACF-4EA9-9EAB-578DF0FE6F78} - C:\Program Files\Common Files\Baidu\Disk Search\dsie.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - G:\Program Files\KV2005\KvShell_2.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: SafeIE Utility - {B5D4581D-ED6A-4905-A267-25BAF7BE79C1} - C:\WINDOWS\system32\safeie.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\NetTransportV1.94\NTIEHelper.dll
O3 - Toolbar: CyberArticle Express - {769A6A36-ED24-4376-BC7C-80225BF35698} - g:\Program Files\CyberArticle\CAExp.dll
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - F:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - G:\Program Files\KV2005\KvShell_2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [KvMonXP] G:\Program Files\KV2005\KVMonXP.kxp /auto
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_ISC.DLL,isc
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 下载页面上的ED2(&K)链接 - e:\Program Files\eMule\ed2k.html
O8 - Extra context menu item: 使用CyberArticle保存当前网页... - G:\Program Files\CyberArticle\script\save.htm
O8 - Extra context menu item: 使用CyberArticle保存更多内容... - G:\Program Files\CyberArticle\script\savex.htm
O8 - Extra context menu item: 使用CyberArticle保存网页选中部分... - G:\Program Files\CyberArticle\script\savesel.htm
O8 - Extra context menu item: 使用Kugoo下载 - G:\Program Files\KuGoo2\KugooDownX.htm
O8 - Extra context menu item: 使用WellGet下载(&W) - E:\Program Files\WellGet\nxcatch.htm
O8 - Extra context menu item: 使用WellGet下载全部链接(&D) - E:\Program Files\WellGet\nxall.htm
O8 - Extra context menu item: 使用影音传送带下载 - F:\NetTransportV1.94\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - F:\NetTransportV1.94\NTAddList.html
O8 - Extra context menu item: 使用网际快车下载 - F:\Program Files\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - F:\Program Files\FLASHGET\jc_all.htm
O8 - Extra context menu item: 保存表单(&[) - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: 加入POCO网摘(&K) - http://my.poco.cn/fav/rightClick.php
O8 - Extra context menu item: 加入到电子笔记薄 - d:\Program Files\eNotebookCn\GetNoteFromIE.htm
O8 - Extra context menu item: 加入所有链接到电子笔记簿 - d:\Program Files\eNotebookCn\ENBGetAll.htm
O8 - Extra context menu item: 加入选择部分的所有链接到电子笔记簿 - d:\Program Files\eNotebookCn\ENBGetSelAll.htm
O8 - Extra context menu item: 填写表单(&]) - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: 我的POCO网摘(&O) - http://my.poco.cn/fav/open_myfav.php
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\Program Files\Tencent\qq\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - H:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: 自定义菜单 &M - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O9 - Extra button: 填写表单 - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: 填写表单(&]) - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: 保存 - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: 保存表单(&[) - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: WellGet - {35980F6E-A258-4E50-953D-813BB8556899} - e:\Program Files\WellGet\WellGet.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RoboForm 工具栏(&2) - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp_2.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp_2.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp_2.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: KVSrvXP_1 - JiangMin New Tech Ltd. - G:\PROGRA~1\KV2005\KVSrvXP_1.exe
O23 - Service: KVWSC - Jiangmin Co.Ltd - G:\Program Files\KV2005\kvwsc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

HijackThis没看到

【回复“有意思”的帖子】
》》进程中多了一个“advapi32.exe”。

请参考：
http://forum.ikaka.com/topic.asp?board=67&artid=6818934

引用:

【冷雨夜阑的贴子】HijackThis没看到 ...........................

不好意思，正编辑呢。好了

引用:

【飞跃迷离的贴子】【回复“有意思”的帖子】 》》进程中多了一个“advapi32.exe”。 请参考： http://forum.ikaka.com/topic.asp?board=67&artid=6818934 ...........................

Thanks!谢谢

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
这是什么?

这样来处理（金山海色の月管理员发布的方法）：
1. 断开网络，关闭所有浏览器窗口，退出/关闭可以退出/关闭的应用程序（因为其文件_IS_*.DLL可能会插入在其它进程中）
2. 结束掉Rundll32.exe进程（调用_IS_ISC.DLL）
3. 结束掉Explorer.exe进程（在Explorer.exe进程里也插入了几个_IS_*.DLL文件，其中就有进程保护的DLL。另，结束掉Explorer.exe进程后，桌面、任务栏会丢失）
以上步骤是为了尽量使那些_IS_*.DLL文件没有被调用，如果你对系统熟悉也可不用这样操作，只要确定当前没有_IS_*.DLL文件被调用即可。
4. 把Explorer.exe进程再运行起来（恢复桌面、任务栏。也可以先进行第5步删除相关文件）
5. 删除%Windows%\Downloaded Program Files\目录下面所有_IS_*.*文件（可以使用WinRAR，WinRAR也是一个文件浏览器用它可以浏览到一般不能直接查看的Downloaded Program Files\目录下的文件，用WinRAR找到那些_IS_*.*，删除掉），再删除%Windows%\backup\目录
6. 双击导入 DEL_isc.rar 中的REG文件（附件），作用是删除那些东西在注册表里留下的启动项和其它信息