请高手看看：

前几天开始的，突然弹出一个网页没看清就关闭了，但是任务管理器进程里IE依然在运行，IE的访问记录里有，而且会不短的在访问记录里刷其他的“流氓”，主要以www.8yule.com为首。同时务管理器进程里IE的内存占用不断增加。

系统、网络、使用情况：
Windows Server 2003 + IE 7.0
自从使用路由器以来不开防火墙，之前没任何问题。

怀疑是有毒或木马，就在安全模式下用KAKA查木马、修复系统、修复IE都没异常。用Rising查毒，结果无毒。同时安装系统补丁，检查修补漏洞。
之后正常进入系统，连上网络有继续刷“流氓”。

同时发现在Temp文件夹下多了Cookies    Internet 临时文件等几个IE常用文件夹并删除不了显示IE在占用。而且关闭IE时任务管理器进程里IE依然在运行。

在刷“流氓”的时候我打开了防火墙，结果说：
c:\program files\common files\thunder network\kankan\playerhelper.dll 要访问网络是否同意？选“禁止”
c:\program files\common files\thunder network\kankan\pplayer.2.0.0.181.(569).dll 要访问网络是否同意？选“禁止”

日志里有这样一条：详细内容2008-11-16 01:37:19, 系统禁止本地PPlayer.2.0.0.181.(569).dll发送UDP数据包，地址为：0.0.0.0:3715 => 121.10.120.193:18996程序名称为：C:\PROGRAM FILES\INTERNET EXPLORER\iexplore.exe>>C:\Program Files\Common Files\Thunder Network\KanKan\PPlayer.2.0.0.181.(569).dll

同时把playerhelper.dll和pplayer.2.0.0.181.(569).dll加进规则里全部禁止症状消失。

请高手检查下这两个playerhelper.dll pplayer.2.0.0.181.(569).dll是不是有嫌疑。
这文件装了迅X就有了。

另外用sreng扫后说有入口点错误：CreateProcessA和CreateProcessW 被未知模块Hook地址0x01113BDD和
0x01113CC5    修复不了。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

感谢回复

已经扫了传在这里了，Log里好象看不出什么名堂。

那2个入口点错误重起后已经修复了，但是开机后还是会刷（没开防火墙）。

直接删了c:\program files\common files\thunder network\kankan似乎没用，应该不是这里的问题。

上图看看，只是一部分“流氓”
路由器有限制不然全部加进去！




IE临时文件在这里



Temp里又生成些。。。




之前做过的又做了一回，不管用的。

非常感谢，已经按你的方法解决了。

但是很想知道这东西那里来的。

啊，加进Rising病毒库哇哇。

再次感谢。