开机就会在桌面上自动产生一个名为bleh.exe的程序,只要打开任何一个程序就会弹出一个DOS窗口,接着提示rundll32.exe遇到问题需要关闭.我不会贴图,只好把图片做成压缩包传上来,请高手看看!!
Logfile of HijackThis v1.99.1
Scan saved at 15:05:46, on 2005-9-3
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\conime.exe
c:\program files\rising\rfw\RfwMain.exe
D:\RISING\RAV\CCENTER.EXE
D:\RISING\RAV\Ravmond.exe
D:\RISING\RAV\RavStub.exe
D:\RISING\RAV\RAVMON.EXE
D:\RISING\RAV\RAVTIMER.EXE
D:\内存扫把\ram.exe
D:\RISING\RAV\Rav.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\System32\scvhost.exe
D:\WINRAR\WinRAR.exe
C:\WINDOWS\System32\scvhost.exe
C:\Documents and Settings\叶  锐\桌面\bleh.exe
C:\WINDOWS\TEMP\Rar$EX00.176\HijackThis.exe
C:\WINDOWS\System32\scvhost.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v3.dll
O2 - BHO: (no name) - {046167AA-53C2-4576-B362-291D9E852269} - C:\WINDOWS\SYSTEM32\BBDown.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll (file missing)
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\3721\Assist\Angling.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\QQ\QQIEHelper.dll
O2 - BHO: ltmenu Class - {78C21EFD-53BA-406C-AF1A-33A38ABD3958} - C:\Program Files\LtUcx\1002\c0.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINDOWS\Downloaded Program Files\barhelp22.0.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CONFLICT.1\CnsHook.dll
O2 - BHO: YiSou - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\yisou\yisoub.dll
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FLASHGET\fgiebar.dll
O3 - Toolbar: 天下搜索 - {56A7DC70-E102-4408-A34A-AE06FEF01586} - C:\WINDOWS\Downloaded Program Files\iebar22.0.dll
O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\Program Files\yisou\yisou.dll
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CONFLICT.1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [RavMon] D:\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RavTimer] D:\RISING\RAV\RAVTIMER.EXE
O4 - HKCU\..\Run: [3721] C:\$NtUninstallQ5926809$\3721.bat
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: 内存扫把.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\DOWNLO~1\CONFLICT.1\CnsMinEx.dll/1003
O8 - Extra context menu item: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\Program Files\浩方对战平台\GameClient.exe
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: 视频聊天 - {6924091F-CD97-41E1-B1D4-D9079409D413} - http://www.liantang.net (file missing)
O9 - Extra 'Tools' menuitem: 视频聊天 - {6924091F-CD97-41E1-B1D4-D9079409D413} - http://www.liantang.net (file missing)
O9 - Extra button: 寻论网--中学作业解答 - {6924091F-CD97-41E1-B1D4-D9079409D423} - http://www.xunlun.com (file missing)
O9 - Extra 'Tools' menuitem: 中学作业 - {6924091F-CD97-41E1-B1D4-D9079409D423} - http://www.xunlun.com (file missing)
O9 - Extra button: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - Extra 'Tools' menuitem: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - Extra button: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-223?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-223?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O16 - DPF: Win32 Classes -
O16 - DPF: {0400AC1C-EEF0-4638-A501-31D5A0DC2002} (VTPlug3 Class) - http://202.101.62.195:1995/VTrans.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://202.101.62.195:1995/talk.cab
O16 - DPF: {7A818607-0D4D-4C09-AB73-E4FC105FD9C3} (Web800 Control) - http://radio.cga.com.cn/mdc800.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=4809
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://210.51.5.80/fun/system/fc2boot.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{887BFBB8-85E8-45CB-B7ED-847D51309332}: NameServer = 61.128.128.68 61.128.192.68
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINDOWS\System32\dhcpclient.exe (file missing)
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\RISING\RAV\Ravmond.exe

[img][/img][img][/img][img][/img][img][/img][img][/img][url][/url][url][/url][url][/url][url][/url][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img][img][/img]

删除C:\Documents and Settings\叶 锐\桌面\bleh.exe
修复O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINDOWS\System32\dhcpclient.exe (file missing)
注册表（开始-运行-regedit）定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run检查一下看看有没有什么可疑的！

好,我先试试

有DOS病毒 用DOS病毒查杀工具
你的上网助手可能已经被病毒感染 
建议杀完毒后重新安装上网助手

我照你说的做了,文件删了,也修复了,注册表我截了图,我自己看不懂有没有问题,只有你说的第一和第三处有内容,分别对应名为8.jpg和9.jpg ,你看看,图片在后面压缩包里

DOS查杀工具?哪里找得到?我最新的瑞星根本查不出来有毒啊

解决：
    没办法了只能禁用连接了，用任务管理器终止scvhost.exe,popup6011.exe,bleh.exe,还有两个explorer.exe,结果任务栏不见，当然得再运行系统explorer恢复正常，设置好显示系统文件，显示隐藏文件后搜索刚刚终止的几个exe文件。同时注册表里搜索删除关联的项，特别注意RUN,RUNEX,RUNONCE,RUNSERVER等。同时把搜索到的exe文件都删除了。
    本想大功告成了，恢复网络连接，重启。当重启回到桌面时，桌面上生成了一个bleh.exe文件，查看进程发现bleh.exe,scvhost.exe有回来了，同时系统出现错误报告“CTF LORDED  ERROR”并且跳出了两个DOS运行窗口，查看注册表，关于scvhost.exe，bleh.exe的项又被添加了，同时网络也基本被堵塞了，我想这下完了白搞了半天，不管三七二十一删了桌面上的 bleh.exe，再看看能不能上网找个防火墙和杀毒软件装上，借助工具来吧，不过当我打开IE访问网络时，刚启动系统的一幕有出现了，网速奇慢，又得把网络断了，不然就可能被遥控了。这时想到打开系统管理工具看看服务有没问题，当打开服务管理时和打开IE一样的说，真把我搞晕了。
    现在手头没有filemon,regmon等分析工具，很难发现scvhost.exe，bleh.exe与系统的关联，通过观察发现当我运行IE，还有系统管理工具时，就会有上述的反映，运行任务管理器没问题，查看注册表不会是破坏程序再次执行。由上述可知这些程序和某个系统程序关联了，或者是根本没有在进程里将恶意程序禁止。
    技术不过关只能用笨方法，一个个排查了，IE运行就出问题了，当然看看是不是IE出的问题，首先看IE程序是否正常，包括大小，注册表都翻遍了，没发现什么问题啊，再看看系统EXPLORER.EXE，开始不是说了，任务管理器里发现两个EXPLORER.EXE的，经过检查系统目录c:\windows\EXPLORER.EXE没问题，可是在在c:\windows\system32\EXPLORER.EXE的就大大不对了，先删除再说，刚生成的scvhost.exe，bleh.exe，也在这个目录下了，system32的文件超多，删除三个文件一个找麻烦，又都是刚生成的，用右键让文件安时间排列那么最后的几个肯定是他们了，这时候我还好细心啊，ctfmon.exe，和这几个文件跑到一起了，而正常的EXPLORER.EXE可没在一起啊，按理说从时间上来说ctfmon.exe和EXPLORER.EXE是一块的，同时想到“CTF LORDED  ERROR”错误提示，想必ctfmon.exe难逃干系了，看看属性ctfmon.exe又九十几K，正常的ctfmon.exe应该是13～15K这个文件肯定大有文章啊，难怪我注册表几乎所有的启动项都删了，就剩c:\windows\system32\ctfmon.exe其他系统文件也没发现问题，重启系统程序又执行了。当然先结束几个进程再四个文件一并删了，再去同学那拷贝一个正常得ctfmon.exe。
    这时候再打开IE，系统没有问题了。

这篇文章我看过,不行