这个东西是明显的不正常，开机就自动运行IE，使用者显示为系统，安全模式用瑞星杀不出来。最后没办法我再开了个IE，然后用卡卡分析，对比两者的不同，发现其中一个IE多出以下进程，请各位高手帮忙分析下。这个东西我在网上搜了下，根本没有解决办法，很顽固的一个
[IEXPLORE.EXE]
PID = 0x454
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe" about:blank
       
    mstreg.dll
    0x59800000
    C:\WINDOWS\system32\mstreg.dll
       
    ntshrui.dll
    0x76990000
    C:\WINDOWS\system32\ntshrui.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Shell extensions for sharing
    2001-08-23 20:00:00


    mstrega.dll
    0x1930000
    C:\WINDOWS\system32\mstrega.dll
    6.00.2600.0000 (xpclient.010817-1148)
    Microsoft Corporation
    DESWorker DLL
    2004-06-06 14:13:24

    MFC42.DLL
    0x73dd0000
    C:\WINDOWS\system32\mfc42.dll
    6.00.8665.0
    Microsoft Corporation
    MFCDLL Shared Library - Retail Version
    2001-08-23 20:00:00

    RavScrCh.dll
    0x1970000
    C:\Program Files\Rising\Rav\RavScrch.dll
    20, 0, 0, 3
    Beijing Rising Technology Co., Ltd.
    RavScrCh Module
    2000-04-03 11:12:32

    vbscript.dll
    0x6b600000
    C:\WINDOWS\system32\vbscript.dll
    5.6.0.7426
    Microsoft Corporation
    Microsoft (r) VBScript
    2002-02-26 14:58:06

    jscript.dll
    0x75c50000
    C:\WINDOWS\system32\jscript.dll
    5.6.0.6626
    Microsoft Corporation
    Microsoft (r) JScript
    2001-08-23 20:00:00

    mswsock.dll
    0x71a50000
    C:\WINDOWS\system32\mswsock.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Microsoft Windows Sockets 2.0 Service Provider
    2001-08-23 20:00:00

    wshtcpip.dll
    0x71a90000
    C:\WINDOWS\system32\wshtcpip.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Windows Sockets Helper DLL
    2001-08-23 20:00:00

    DNSAPI.dll
    0x76f20000
    C:\WINDOWS\system32\dnsapi.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    DNS Client API DLL
    2001-08-23 20:00:00

    iphlpapi.dll
    0x76d60000
    C:\WINDOWS\system32\iphlpapi.dll
    5.1.2600.2 (xpclient.010817-1148)
    Microsoft Corporation
    IP Helper API
    2001-08-23 20:00:00

    netman.dll
    0x76de0000
    C:\WINDOWS\system32\netman.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Network Connections Manager
    2001-08-23 20:00:00

    MPRAPI.dll
    0x76d40000
    C:\WINDOWS\system32\mprapi.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Windows NT MP Router Administration DLL
    2001-08-23 20:00:00

    ACTIVEDS.dll
    0x76e40000
    C:\WINDOWS\system32\activeds.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    ADs Router Layer DLL
    2001-08-23 20:00:00

    adsldpc.dll
    0x76e10000
    C:\WINDOWS\system32\adsldpc.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    ADs LDAP Provider C DLL
    2001-08-23 20:00:00

    WLDAP32.dll
    0x76f60000
    C:\WINDOWS\system32\wldap32.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Win32 LDAP API DLL
    2001-08-23 20:00:00

   
    WZCSvc.DLL
    0x76da0000
    C:\WINDOWS\system32\wzcsvc.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Wireless Zero Configuration Service
    2001-08-23 20:00:00

    WMI.dll
    0x76d30000
    C:\WINDOWS\system32\wmi.dll
    5.1.2600.0 (XPClient.010817-1148)
    Microsoft Corporation
    WMI DC and DP functionality
    2001-08-23 20:00:00

    DHCPCSVC.DLL
    0x76d80000
    C:\WINDOWS\system32\dhcpcsvc.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    DHCP Client Service
    2001-08-23 20:00:00

    WTSAPI32.dll
    0x76f50000
    C:\WINDOWS\system32\wtsapi32.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Windows Terminal Server SDK APIs
    2001-08-23 20:00:00

    winrnr.dll
    0x76fb0000
    C:\WINDOWS\system32\winrnr.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    LDAP RnR Provider DLL
    2001-08-23 20:00:00

    rasadhlp.dll
    0x76fc0000
    C:\WINDOWS\system32\rasadhlp.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Remote Access AutoDial Helper
    2001-08-23 20:00:00



另附卡卡的全部分析，先谢谢了


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

先谢谢lqqk7了
由于打补丁的时候出错，我系统重装了，这个问题也不存在了。
但是很久之前我就遇到过一直没搞定，所以还想深究下。
附件中的文档是我在重装之前按照你的要求扫描好的。
症状就是开机自动运行IE，且使用者显示为系统。用瑞星、机器狗等专杀工具扫描没有不正常情况，机器在使用过程中也感觉不出异常。非常奇怪
希望lqqk7能帮忙查出问题所在

看得出，电脑曾感染过木马群

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><mrjhtjd.dll,qrhhb.dll,xdfntt.dll,hgfhk.dll,hjaiq.dll,kduy.dll,frntrn.dll,dnteh.dll,chmfcmh.dll,jwlah.dll,crugd

这项本来为空的，应该是这样
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs>

呵呵，看来这个问题果然是由木马的存在阿，下次再遇到要好好解决下，感谢lqqk7的帮忙了

既然已经没问题了，就不写那么详细了，只写异常项

<shell><Explorer.exe>  [(Verified)Google Inc]
从这项看出explorer.exe可能已经被替换掉了

<AppInit_DLLs>项清空

异常服务项：
[94052B98 / 94052B98][Stopped/Auto Start]
  <><N/A>
[czqthsd / czqthsd][Stopped/Auto Start]
  <><N/A>
[IE Security Service / msyaxk][Running/Disabled]
  <C:\WINDOWS\System32\mstreg.exe><N/A>
[Security Control / secctrl][Stopped/Auto Start]
  <><N/A>

异常驱动项：
[kavell / kavell][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\kavell.sys><N/A>
[mnsf / mnsf][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp11.tmp><N/A>
[ping / ping][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpB.tmp><N/A>

呵呵！！！

真有趣

既然已经没问题了，就不写那么详细了，只写异常项

引用:

【天月来了的贴子】呵呵！！！ 真有趣 既然已经没问题了，就不写那么详细了，只写异常项 ………………

既然人家有要求就尽量满足嘛