我家机器也种了烦人的XXXXX.dll一堆，还有一个隐藏的自启动项，用瑞星看不到，运行MSconfig、木马杀客、安全卫士、。。。。。。查看启动项目一切正常，还有的看到了就是清理不了，也进注册表删了删完后随意一点别的目录再点回来那5、6项的XXXXX.dll有在那了。用了Sreng才能看到系统自启动的那几项，可删还删不了，我估计是一种很麻烦的木马吧~~！我在C:\Windows\systme32\下找到了那几个XXXX.dll当我删除的时候系统提示我文件写保护，或是正在使用，再一看进程有一个co..什么的进程我分解以后告诉我他是用来执行木马程序的什么什么东东，，，，总之就是愁呀```忙了一中午也没忙明白，一会我回家扫个报告上来大家帮忙分析下被？菜鸟求助~~~~！！！！嗷嗷急`~~~！！


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

以下是我刚才抓的几张图供高手们帮忙分析下`````关键是怎么删都删不了````74我了````

安全卫士下:

优化大师下``::

瑞星:

多谢大哥```我马上就行动```!!!!

1999-01-01,17:22:17

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavTask><; "C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><avzxamn.dll>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>  []
    <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>  []
    <{1D47B341-43DF-4563-753F-345FFA3157D1}><C:\WINDOWS\system32\kvmxama.dll>  []
    <{1598FF45-DA60-F48A-BC43-10AC47853D51}><C:\WINDOWS\system32\rarjapi.dll>  []
    <{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><C:\WINDOWS\system32\kvdxama.dll>  []
    <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll>  []
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>  []

==================================
启动文件夹
服务
[Ati HotKey Poller / Ati HotKey Poller]
  <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart]
  <C:\WINDOWS\system32\ati2sgag.exe><>
[Help and Support / helpsvc]
  <C:\WINDOWS\system32\inetres.exe><1>
[Rising Process Communication Center / RsCCenter]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon]
  <"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>

==================================
浏览器加载项
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_006.dll, Thunder Networking Technologies,LTD>
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[PhotoDraw Class]
  {2375BEE5-F175-4F1C-81EC-8E4E2E72E2DD} <C:\WINDOWS\system32\QQPhotoDraw.dll, TENCENT>
[WebActivater Control]
  {C661F36D-DF85-4EF4-83C7-E107B83D04B1} <C:\WINDOWS\system32\3DShowVM.ocx, QQ>
[PasswordEditCtrl Class]
  {E787FD25-8D7C-4693-AE67-9406BC6E22DF} <D:\QQ\qqedit\qqedit.dll, 腾讯科技（深圳）有限公司>
[PhotoDraw Class]
  {2375BEE5-F175-4F1C-81EC-8E4E2E72E2DD} <C:\WINDOWS\system32\QQPhotoDraw.dll, TENCENT>
[WebThunder DapPlayer]
  {2EEDA47E-8D5C-4d7e-B4B6-E16E19218555} <C:\Program Files\Thunder Network\WebThunder\DownAndPlay\WebDapPlayer_Now.dll, N/A>
[XML Document]
  {48123BC4-99D9-11D1-A6B3-00C04FD91555} <%SystemRoot%\system32\msxml3.dll, N/A>
[XMP Class]
  {6483F145-A768-4C41-AACC-52D4D7845851} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\xplayer.dll_1_work, N/A>
[XDRM]
  {693571CB-54A3-4E90-9D52-EEAE1334E2D3} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\xdrm.dll_1_work, >
[MediaComm Class]
  {7670648D-461B-42AF-BDFE-46D26AF5EFF2} <C:\Program Files\Thunder Network\Thunder\Components\InMedia\MediaAddin10.dll, Thunder Networking Technologies,LTD>
[Microsoft Web 浏览器]
  {8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_006.dll, Thunder Networking Technologies,LTD>
[RMGetLicense Class]
  {A9FC132B-096D-460B-B7D5-1DB0FAE0C062} <C:\WINDOWS\system32\msnetobj.dll, Microsoft Corporation>
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[WebActivater Control]
  {C661F36D-DF85-4EF4-83C7-E107B83D04B1} <C:\WINDOWS\system32\3DShowVM.ocx, QQ>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.>
[TencentVmpCtl Class]
  {D9819BD5-422B-4281-8523-726466ED692B} <C:\Program Files\Tencent\Viewpoint Media Player\AxMetaStream.dll, Viewpoint Corporation>
[PasswordEditCtrl Class]
  {E787FD25-8D7C-4693-AE67-9406BC6E22DF} <D:\QQ\qqedit\qqedit.dll, 腾讯科技（深圳）有限公司>
[XPPlayer Class]
  {F3E70CEA-956E-49CC-B444-73AFE593AD7F} <C:\Documents and Settings\All Users\Application Data\Thunder Network\KanKan\pplayer.dll_1_work, Thunder>
[&使用迅雷下载]
  <C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm, N/A>
[&使用迅雷下载全部链接]
  <C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm, N/A>

==================================
正在运行的进程
[PID: 428][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 932][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1148][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 1260][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 1288][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 1536][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 1636][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 1792][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\System32\kvmxama.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\avzxamn.dll]  <N/A><N/A>
[PID: 1876][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 1972][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 500][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 640][C:\PROGRAM FILES\RISING\RAV\RavStub.exe]  <Beijing Rising Technology Co., Ltd.><19, 0, 0, 4>
    [C:\PROGRAM FILES\RISING\RAV\RsCommX.dll]  <rising><18, 0, 0, 1>
    [C:\PROGRAM FILES\RISING\RAV\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><19, 0, 0, 5>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 1392][C:\WINDOWS\system32\SoundMan.exe]  <1><1.00>
    [C:\WINDOWS\system32\avzxamn.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
[PID: 1280][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\avzxamn.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsjzapm.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rarjapi.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\kvdxama.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsztapm.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsmyapm.dll]  <N/A><N/A>
    [D:\电子阅读器\ActiveX\PDFShell.dll]  <Adobe Systems, Inc.><7.0.0.0>
    [C:\Program Files\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><19, 0, 0, 5>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\RavExt.dll]  <Beijing Rising Technology Co., Ltd.><19, 0, 0, 9>
[PID: 1116][C:\WINDOWS\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\avzxamn.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsmyapm.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsztapm.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\kvdxama.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rarjapi.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsjzapm.dll]  <N/A><N/A>
[PID: 2264][C:\WINDOWS\system32\cmd.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 2404][C:\WINDOWS\system32\alcwzrd.exe]  <番茄花园><1.00>
[PID: 2460][C:\WINDOWS\system32\Alcmtr.exe]  <1><1.00>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\avzxamn.dll]  <N/A><N/A>
[PID: 2700][E:\绿色软件\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>
    [C:\WINDOWS\system32\avzxamn.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\kvmxama.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsmyapm.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsztapm.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\kvdxama.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rarjapi.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\rsjzapm.dll]  <N/A><N/A>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

【回复“日不懂啊”的帖子】

大侠我已经改到了地3个  3.dll

引用:

【日不懂啊的贴子】你用SRENG 找出所有*******.DLL的文件启动项 在C：\WINDOWS\SYSTEM32\ 下找出来,依次改名为1.DLL 2.DLL ... 重起 把改名的文件都删除 把注册表里 [HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows] <AppInit_DLLs> 这项设置为空 用SRENG把启动项目里的那些蓝色的  *****.dll的启动项目删除 然后全盘杀毒 SRENG下载地址: 下载 System Repair Engineer， http://download.kztechs.com/files/sreng2.zip ………………

大哥  我导出了那些XXXXX.dll早目录里找不到呀,因为名字不是对应的,怎么办呀?我就找到了3个,第3个文件还是中间有一个字母不对应我硬改地,我机器是不是要从做呀>?
我这才做了3天的系统.

你看这个软件的名字    一一对应着找下去  就能找到第2个  等到第3个的时候对应的
C:\WINDOWS\sya...  下的文件名就找不到只能找一个相似的出来,等到第4个的时候也是一样的  只能找到 kvdxacf.dll  kvdxais.exe  kvdxama.dll  kvmxacf.dll  kvmxais.exe

我的日志不全么?  要不我在导一次吧    我现在就按照你说的弄一下
删一下服务试试吧    我估计原因在于我的QQ吧  我昨天在天空下了一个珊瑚虫2007
应该没什么事吧    也不怎么清楚了  我什么网站都没进过就是一直在聊天
也许是我QQ太靓了吧  哈哈`````

找出C:\WINDOWS\system32\inetres.exe
压缩加密，发给我邮箱571wind@163.com 谢谢


根本找不到文件    你看看图片最下面的哪个是不是
我怎么感觉这好象是这破毒的障眼法呢?