【案例】
经过查看在反病毒论坛的多个相关日志
初步分析与C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL有关

【分析一】
IRJIT.DLL已经调用了RUNDLL32.EXE
举例如下：
[RUNDLL32.EXE]
CommandLine = C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL,Export 1087

【分析二】
IRJIT.DLL自动创建了系统服务
但是系统服务的名称是变化的
举例如下：
O23 - Service: Microsoft Update Service (BKMARKS) - - C:\WINDOWS\system32\rundll32.exe c:\windows\system32\wbem\irjit.dll,export 1087
O23 - Service: Local Connection Manager (BNESS) - - C:\WINNT\system32\rundll32.exe c:\winnt\system32\wbem\irjit.dll,export 1087
（卡卡助手扫描到的相关服务）

[DNS Cache / lDOMANE]
<D:\WINDOWS\SYSTEM32\RUNDLL32.EXE D:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
（System Repair Engineer扫描到的相关服务）

说明：
对于这个服务
用HIJACKTHIS有时会扫描不到
（我是用HIJACKTHIS来解决的，但本论坛大多数朋友的日志并没有扫描到该服务）

【解决测试方案】
通过System Repair Engineer或卡卡助手导出的日志查找IRJIT.DLL创建的系统服务

开始－－控制面板－－管理工具－－服务
禁用其服务

开始－－运行
输入regedit
确定　
进入注册表
搜索IRJIT.DLL
删除其所在的系统服务文件夹

开机时按住F8<可以不停地按动F8>
选择"安全模式"或"SAFE　MODE"进入安全模式
然后删除c:\winnt\system32\wbem\irjit.dll

进入正常模式下
重置一下IE首页

【说明】
本贴引自于
www.9991.com劫持解决测试方案【推荐】
http://forum.ikaka.com/topic.asp?board=67&artid=7926199

引用:

【zq77的贴子】偶一个月前中了2次 早就删了 这个已有专杀工具了 ...........................

专杀工具的下载地址？

【回复“友好人士”的帖子】
9991.com经常借助于与QQ相关的东东来进行劫持
像QQ表情

【回复“scjdhwm”的帖子】
建议另开主题贴

另外
O23 - Service: Wint (wint) - - C:\WINDOWS\system32\rundll32.exe "c:\progra~1\wint\wint.dll",run -r
这一项才是最大的问题
其中wint.dll已经插入到系统进程中