新装系统没多久，对病毒和木马严加防范，该打的补丁都已打上，是瑞星正版用户，天天升级，天天杀毒，可还是出了问题。一上网，打开浏览器，rundll32.exe这个进程就不断出来，一个接一个，而且浏览器总被强行关闭，有几次关上浏览器还不算，桌面上也什么都没有了，只能重启。我即使把这个进程终止也不行，它会不断地出来。请教高手我是不是中了木马程序，被人控制了机器，还是我的软件设置上有问题。下面是我扫描的日志。恳请高手指点，小女子不胜感激！


HijackThis@Qoo的扫描日志  V1.97.7
Scan saved at 0:25:53, on 2006-9-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\瑞星\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\瑞星\Rising\Rav\Ravmond.exe
c:\瑞星\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\瑞星\Rising\Rav\RavStub.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\瑞星\rising\rfw\RfwMain.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\瑞星\Rising\Rav\RavTask.exe
C:\瑞星\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
D:\迅雷\Program\Thunder5.exe
D:\解压缩\WinRAR.exe
D:\HijackThis杀毒软件\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobt reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\
O3 - Toolbar: ????? - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\WINDOWS\system32\ysstoolbar.dll
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\jinshan\IEBand.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin\tgcmd.exe" /server
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [RfwMain] "C:\
O4 - HKLM\..\Run: [RavTask] "C:\
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ntuser.dat
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
O8 - Extra context menu item: &RSDN Search - res://C:\WINDOWS\system32\ysstoolbar.dll/GoRSDN.dll.htm
O8 - Extra context menu item: &使用迅雷下载 - D:\
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mshelper2.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mshelper2.dll
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156772067695
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92C08781-29B7-4D04-BAB9-B2EBB6465178}: NameServer = 202.106.0.20 202.106.46.151

启动项太多 只留杀软就好

我的没有 02 03 09 10 11 16

你的日志不全

===========================================================
下面简单说明一下扫描项：
　　O1项：主机文件重定向，也即Hosts文件里内容。
　　02项：系统BHO文件，浏览器辅助对象，通过CLSID以确定它是无害的还是有害的。，多是IE的链接文件之类的，如媒体播放之类的插件、下载软件加载的插件等。
　　03项：系统工具条，多是恶意软件安装的工具栏，如非自愿接受，可删除。
　　04项：系统启动程序和文件，即从注册表自动加载的程序。也是木马和病毒爱做手脚的地方，需要仔细确认。
　　05项：使IE选项在控制面板中不可见。除非故意隐藏控制面板中的图标，否则修复。
　　06项：由管理员限制的对IE选项的访问。
　　07项：由管理员限制的对注册表编辑器的访问，如非人为导致注册表被锁，可修复。
　　08项：IE扩展菜单，即IE右键菜单，如IDM、讯雷、QQ等都会在这里添加对应菜单。
　　09项：主IE工具栏上的额外按钮，或IE“工具”菜单中的额外项，非系统项，直接删除。如有恶意软件在工具栏上添加“网址”项，可直接点此修复。
　　010项：Wincock绑架程序。
　　011项：IE选项里内容，部分软件会增加内容到IE的选项里面，如QQ、3721等，可酌情删除。
　　012项：IE插件，非所用插件，删除。
　　013项：IE DefaultPrefix绑架。若存在就代表有问题，直接选中修复。
　　014项：IE首页，‘重置Web设置’绑架。如非本人所设，删除。
　　015项：受信任区域中的有害站点。
　　016项：系统已安装插件，Active对象。可依据其网址判断是否正常，如非本人所装直接删除。
　　017项：域绑架。如果域不是来自您的ISP或公司的网络，直接修复。
　　019项：用户样式表绑架。在浏览器速度变慢并频繁弹出各种消息的情况下，如果这一项显示在曰志中，直接修复。
　　020项：少有存在，如存在，多为木马所为，直接删除。
　　023项：软件加载服务，也即Services.msc中服务。

不一定能帮到你  使用简介：http://forum.ikaka.com/topic.asp?board=28&artid=5454397
③下载地址：http://www.softpedia.com/get/Security/Secure-cleaning/Pocket-Killbox.shtml（英文）
http://free.ys168.com/?mopery  下载WinsockXPFix.exe 1.3MB 和LSPFix.rar 178.1KB
用LSPFix.rar 178.1KB 修复010 c:\windows\system32\mshelper2.dll 点中间的转移
    如果不能上网再用WinsockXPFix.exe 1.3MB修复
关闭IE和没用的程序  删除c:\windows\system32\mshelper2.dll
删不掉用Pocket-Killbox  找到他 删除
重起 结束进程C:\WINDOWS\system32\rundll32.exe  （如果有）
打开HijackThis  扫描
修复O4 - HKLM\..\Run: [TpShocks] TpShocks.exe（如果不知道是什么）
O4 - HKLM\..\Run: [RfwMain] "C:\
O4 - HKLM\..\Run: [RavTask] "C:\
O4 - Startup: ntuser.dat
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG

再扫日志

谢谢1、2楼，我明天试一下，再回复

http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来..

下载最新版本..