还是不行啊！删不掉！还有文件在使用它！
正在运行的进程
[PID: 432][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 500][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 524][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 568][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 580][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 748][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 800][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 900][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1008][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1128][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2800.1106 (xpsp1.020828-1920)>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
    [C:\PROGRA~1\3721\alrex.dll]  <><1, 0, 0, 1>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
    [C:\WINDOWS\System32\nvcpl.dll]  <NVIDIA Corporation><6.14.10.8195>
    [C:\WINDOWS\System32\NVRSZHC.DLL]  <NVIDIA Corporation><6.14.10.8195>
    [C:\WINDOWS\System32\nvshell.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\DLMon.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\rodll.dll]  <N/A><N/A>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\YAlive.dll]  <><2, 0, 4, 1030>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yalliveex.dll]  < ><2, 0, 0, 1006>
    [C:\PROGRA~1\3721\autolive.dll]  <><1, 1, 4, 1026>
    [C:\PROGRA~1\3721\alLiveEx.dll]  < ><1, 0, 2, 1005>
    [C:\WINDOWS\System32\xunleibho_v8.dll]  <><4, 5, 1, 33>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll]  <Yahoo! China><1, 0, 7, 1021>
    [C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll]  <Yahoo!><2, 0, 5, 1027>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL]  <><1, 2, 7, 1006>
    [C:\WINDOWS\DOWNLO~1\CnsHook.dll]  <北京三七二一科技有限公司><1, 0, 2, 7>
    [C:\PROGRA~1\YiSou\yisoub.dll]  <><1, 1, 2, 4>
    [C:\WINDOWS\system32\RavExt.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 13>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\ywiper.dll]  <N/A><1, 0, 0, 1013>
    [D:\Program Files\Tencent\QQ\qdshm.dll]  <><1, 0, 1, 2>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
[PID: 1144][D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 3>
[PID: 1192][c:\program files\rising\rfw\rfwsrv.exe]  <Beijing Rising Technology Corporation Limited><3, 2, 0, 0>
    [c:\program files\rising\rfw\Rfwdrv.dll]  <Beijing Rising Technology Corporation Limited><3, 0, 1, 5>
    [c:\program files\rising\rfw\rfwrule.dll]  <Beijing Rising Technology Corporation Limited><3, 1, 0, 0>
    [c:\program files\rising\rfw\rfwlog.dll]  <Beijing Rising Technology Corporation Limited><3, 1, 0, 2>
[PID: 1208][d:\Program Files\Rising\Rav\Ravmond.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 1, 6>
    [d:\Program Files\Rising\Rav\BWList.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 16>
    [d:\Program Files\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
    [d:\Program Files\Rising\Rav\RSAPPMGR.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 2>
    [d:\Program Files\Rising\Rav\CfgDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 6>
    [d:\Program Files\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [d:\Program Files\Rising\Rav\RsLog.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 18>
    [d:\Program Files\Rising\Rav\HOOKSYS.dll]  <Rising><18, 1, 0, 9>
    [d:\Program Files\Rising\Rav\Scanner.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 28>
    [d:\Program Files\Rising\Rav\libload.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [d:\Program Files\Rising\Rav\VirusLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [d:\Program Files\Rising\Rav\regmon.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 6>
    [d:\Program Files\Rising\Rav\HookWeb.dll]  <rising><18, 0, 0, 1>
    [d:\Program Files\Rising\Rav\MemMon.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 8>
    [d:\Program Files\Rising\Rav\expscan.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [d:\Program Files\Rising\Rav\mPorts.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 3>
    [d:\Program Files\Rising\Rav\MailMon.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
    [d:\Program Files\Rising\Rav\SpamEng.dll]  <N/A><18, 0, 0, 4>
    [d:\Program Files\Rising\Rav\engine.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 23>
    [d:\Program Files\Rising\Rav\PostTrt.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
    [d:\Program Files\Rising\Rav\UnExe.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 6>
    [d:\Program Files\Rising\Rav\ScanExec.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 6>
    [d:\Program Files\Rising\Rav\ScanEx.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
    [d:\Program Files\Rising\Rav\NvFile.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 7>
    [d:\Program Files\Rising\Rav\ScanMac.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 7>
    [d:\Program Files\Rising\Rav\ScanSct.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 10>
    [d:\Program Files\Rising\Rav\RsStore.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 2>
    [d:\Program Files\Rising\Rav\posttrtx.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 1>
    [d:\Program Files\Rising\Rav\Unpacker.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 3>
[PID: 1340][C:\WINDOWS\Rundll32.exe]  <N/A><N/A>
    [C:\WINDOWS\System32\rodll.dll]  <N/A><N/A>
[PID: 1404][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.0 (XPClient.010817-1148)>
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\vprproc.dll]  <Windows (R) 2000 DDK provider><5.00.2195.1620>
[PID: 1492][d:\Program Files\Rising\Rav\RavStub.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 12>
    [d:\Program Files\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
    [d:\Program Files\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
[PID: 1700][C:\WINDOWS\system32\rundll32.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
    [C:\PROGRA~1\3721\autolive.dll]  <><1, 1, 4, 1026>
    [C:\PROGRA~1\3721\alLiveEx.dll]  < ><1, 0, 2, 1005>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
[PID: 1748][D:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe]  <深圳市三代科技开发有限公司><1, 1, 0, 4>
    [D:\Program Files\Ringz Studio\Storm Downloader\boost_thread-vc6-mt-1_31.dll]  <N/A><N/A>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
[PID: 1764][c:\program files\rising\rfw\RfwMain.exe]  <Beijing Rising Technology Corporation Limited><3, 1, 0, 19>
    [c:\program files\rising\rfw\RsGuiLib.dll]  <Beijing Rising Technology Co., Ltd.><17, 0, 0, 40>
    [c:\program files\rising\rfw\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><17, 0, 0, 17>
    [c:\program files\rising\rfw\PngDll.dll]  <Rising><17, 0, 0, 2>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
[PID: 1772][C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe]  < ><2, 0, 0, 1002>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\YAlive.dll]  <><2, 0, 4, 1030>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yalliveex.dll]  < ><2, 0, 0, 1006>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
[PID: 1808][C:\WINDOWS\System32\Rundll32.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
[PID: 1936][D:\Program Files\Ringz Studio\Storm Downloader\TDUpdate.exe]  <N/A><N/A>
[PID: 696][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 832][C:\WINDOWS\System32\nvsvc32.exe]  <NVIDIA Corporation><6.14.10.8195>
[PID: 992][C:\WINDOWS\System32\wdfmgr.exe]  <Microsoft Corporation><5.2.3790.1230 built by: dnsrv(bld4act)>
[PID: 232][D:\Program Files\Rising\Rav\RavTask.exe]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 22>
    [D:\Program Files\Rising\Rav\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [D:\Program Files\Rising\Rav\RSAPPMGR.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 2>
    [D:\Program Files\Rising\Rav\CfgDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 6>
    [D:\Program Files\Rising\Rav\RsCommX.dll]  <rising><18, 0, 0, 1>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
[PID: 260][C:\WINDOWS\System32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
[PID: 2204][C:\WINDOWS\system32\NOTEPAD.EXE]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
    [C:\WINDOWS\System32\rodll.dll]  <N/A><N/A>
[PID: 2212][C:\WINDOWS\System32\wuauclt.exe]  <Microsoft Corporation><5.8.0.2469 built by: lab01_n(wmbla)>
[PID: 2500][F:\文件下载\新建文件夹\sreng2\SREng.exe]  <Smallfrogs Studio><2.0.12.350>
    [C:\WINDOWS\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 3>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\3721\helper.dll]  <><1, 0, 8, 1014>
    [C:\WINDOWS\System32\rodll.dll]  <N/A><N/A>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

还是不行啊！删不掉！还有文件在使用它！
我改怎么办呀！？为了它都忙了一天了啊！５５５５５５５５５５～

为什么会有这么多文件在使用它？是不是它很重要呀？我删除它后会不会所有使用它的文件都不能使用了？重新装系统有用么？在内存中的木马还会不会留在新系统中呀？？

开始→运行
在弹出的系统运行框中
运行cmd命令
ntsd -c q -p 1340
回车

下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip
删除C:\WINDOWS\System32\aclayer.dll
C:\WINDOWS\System32\rodll.dll
C:\WINDOWS\Rundll32.exe
C:\WINDOWS\System32\DLMon.dll

重启
看看效果如何

使用方法请参考：http://www.xfilt.com/tech/trojan-horse.htm

重要提示： 如果按上面的方法操作之后，发现不久这个木马又出现了，并且还是同样的文件名，那么可以用上面的方法再重复执行一次，不过这次操作时请选中程序中的“抑制文件再次生成”选项， 这样清除后一般木马就很难再复活了。

按照上述步骤操作一下
尽快跟贴

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
+ DLMon c:\windows\system32\dlmain.dll

删除启动项
重启
删除c:\windows\system32\dlmain.dll试试

昨天太晚了，今天在上班。今晚回家后再试试，谢谢各位大师啦！

引用:

【BlackStone的贴子】HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceDelayLoad + DLMon c:\windows\system32\dlmain.dll 删除启动项 重启 删除c:\windows\system32\dlmain.dll试试 ...........................

先这样做，我回家看看那文件在说

引用:

【BlackStone的贴子】HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceDelayLoad + DLMon c:\windows\system32\dlmain.dll 删除启动项 重启 删除c:\windows\system32\dlmain.dll试试 ...........................

试过了，还是不行。

引用:

【不言放弃的贴子】开始→运行 在弹出的系统运行框中 运行cmd命令 ntsd -c q -p 1340 回车 下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip 删除C:\WINDOWS\System32\aclayer.dll C:\WINDOWS\System32\rodll.dll C:\WINDOWS\Rundll32.exe C:\WINDOWS\System32\DLMon.dll 重启 看看效果如何 使用方法请参考：http://www.xfilt.com/tech/trojan-horse.htm 重要提示： 如果按上面的方法操作之后，发现不久这个木马又出现了，并且还是同样的文件名，那么可以用上面的方法再重复执行一次，不过这次操作时请选中程序中的“抑制文件再次生成”选项， 这样清除后一般木马就很难再复活了。 按照上述步骤操作一下 尽快跟贴 ...........................

开始→运行
在弹出的系统运行框中
运行cmd命令
ntsd -c q -p 1340
回车
这个步骤是干什么的？听上去很晕……
试着做过后，变得更晕了！

大哥们，小弟现在去做：
下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip
删除C:\WINDOWS\System32\aclayer.dll
C:\WINDOWS\System32\rodll.dll
C:\WINDOWS\Rundll32.exe
C:\WINDOWS\System32\DLMon.dll

重启
这个步骤了，要使小弟上不来了，就证明小弟的电脑死翘翘啦~
去找XP+SP2重新装系统了~
在此先谢过各位为小弟操劳的哥哥们啦！