隔几天，再看该电脑时，发现NOD32未升级，升级后提示重启删除C:\WINDOWS\system32\sidjazy.dll（Win32/PSW.OnLineGames.DZQ木马）， 用巡警扫描，此木马靠修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows项的AppInit_DLLs键来启 动，此键的DLL文件会在电脑启动时加载到WINLOGON系统进程，并加载到随后启动的每一个进程，因卸载WINLOGON系统进程的DLL文件可能令系统蓝屏崩溃，所以很多杀软会提示重启后删除，但效果不太理想，所以决定手动清除。
　　第一时间是清理所有进程中的sidjazy.dll模块，可以用巡警的进程管理/查找功能清除。我习惯用命令行处理，X-PS（下载地址：），打开CMD，然后用任务管理器终止EXPLORER进程（资源管理器），有时资源管理器会无法卸载木马DLL模块，影响手动清除，所以最好先终止。在CMD里执行ps /m /f sidjazy.dll(列出哪些进程包含sidjazy.dll模块）， ps /e * sidjazy.dll(卸载所有进程中的sidjazy.dll模块），执行这个卸载命令后会出现下图的WINLOGON提示，如果点确定或取消都会立刻蓝屏的，将提示窗口移到一边，不管它。再执行ps /m /f sidjazy.dll看看有没有进程仍加载此模块，如果有残留，继续执行卸载命令，确保卸载完毕。
　　第二，在命令提示符为C：状态下执行CD C:\WINDOWS\SYSTEM32命令，进入C:\WINDOWS\SYSTEM32文件夹，执行ATTRIB sidjazy.dll -S -H -R （修改文件属性为普通文件），执行DEL sidjazy.dll删除文件。
　　删除sidjazy.dll文件后，用巡警清除注册表的AppInit_DLLs键并检查其他项目，发现还有WinSockSPI被sqmapi32.dll修改（NOD32对这个没报警 ），按上面步骤清理，然后修复WinSockSPI。WinSockSPI是底层网络服务，一般只有网络防火墙或其他软件修改，可以截取本机所有网络访问的数据，QQ的密码也许是靠这个来盗取的，懒得分析了，留给老麦吧。 　　重启后，再检查，木马已经消失。

扫描非系统文件:c:\windows\system32\fmsiocps.dll
c:\windows\system32\fmsiocps.dll发现木马文件,非常抱歉:
未唯一使用网页搜索的用户,无法自动清除此木马.
 扫描非系统文件:c:\windows\system32\fmsjhif.dll
c:\windows\system32\fmsjhif.dll发现木马文件,非常抱歉:
未唯一使用网页搜索的用户,无法自动清除此木马.
 扫描非系统文件:c:\windows\system32\ofwdfb.dll
c:\windows\system32\ofwdfb.dll发现木马文件,非常抱歉:
未唯一使用网页搜索的用户,无法自动清除此木马.
 扫描非系统文件:c:\windows\system32\syszxac.dll
c:\windows\system32\syszxac.dll发现木马文件,非常抱歉:
未唯一使用网页搜索的用户,无法自动清除此木马.
c:\WINDOWS\system32\ 扫描完成.

ofwdfb.dll怀疑为木马1734！
ofwdfb.dll:已经清除！
扫描系统驱动程序开始
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP191.TMP 怀疑为系统驱动级木马1220.
2008-5-16 9:14:09发现通过:%CB%C4%B4%A8+%CE%C0%D0%C7%B5%D8%CD%BC+%B5%D8%D5%F0&e=b39d&title=强震区高清晰卫星地图(震前)来自googleearth_地震现场论坛_网易新..&url=http%3A//bbs2.news.163.com/bbs/dezhen/76402966.html&spos=22&path=%CB%C4%B4%A8+%CE%C0%D0%C7%B5%D8%CD%BC+%B5%D8%D5%F0&pn=20&ver=0&cl=3&t=1210900449390搜索网页,
克星恳请未购买用户,搜索网页请用
 非常抱歉, 发现用户搜索百度时候没有到去搜索, 部分功能被限制
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP191.TMP发现无效的系统服务\??\C:\DOCUME~1\User\LOCALS~1\Temp\tmp191.tmp
扫描未知系统服务:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP191.TMP
发现系统服务147:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP191.TMP请将此信息发送到克星论坛1218b
Untitled发现风险系统服务,只对购买用户和使用克星搜索用户提供查杀
C:\WINDOWS\SYSTEM32\INTERNE.EXE发现无效的系统服务%SystemRoot%\system32\interne.exe
扫描未知系统服务:C:\WINDOWS\SYSTEM32\INTERNE.EXE
发现系统服务147:C:\WINDOWS\SYSTEM32\INTERNE.EXE请将此信息发送到克星论坛1218b
Untitled发现风险系统服务,只对购买用户和使用克星搜索用户提供查杀
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP18D.TMP 怀疑为系统驱动级木马1220.
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP18D.TMP发现无效的系统服务\??\C:\DOCUME~1\User\LOCALS~1\Temp\tmp18D.tmp
扫描未知系统服务:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP18D.TMP
发现系统服务147:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP18D.TMP请将此信息发送到克星论坛1218b
Untitled发现风险系统服务,只对购买用户和使用克星搜索用户提供查杀
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP185.TMP 怀疑为系统驱动级木马1220.
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP185.TMP发现无效的系统服务\??\C:\DOCUME~1\User\LOCALS~1\Temp\tmp185.tmp
扫描未知系统服务:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP185.TMP
发现系统服务147:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP185.TMP请将此信息发送到克星论坛1218b
Untitled发现风险系统服务,只对购买用户和使用克星搜索用户提供查杀

名称：AppInit_DLLs
路径：ofwdfb.dll
出品公司：
行为描述：篡改系统启动项
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows