[求助]看看是不是中了木马！

jpzy

今天被一个兄弟叫去修电脑，说是中了个木马，杀不掉！去了一看，他用的是卡巴斯基5.0.397 personal pro版，总是报三个文件是特洛伊，其中一个是Njaiml49.dll，在system32下面，另外一个sys文件在Driver文件夹下面！我原以为是个小马，没当回事！
处理过程如下：
1、重启，清理启动菜单，系统服务，关闭不必要的服务和启动加载项！运行Hijackthis清理IE和启动项！安装AVG Anti-Spyware 7.50！
2、重启进入安全模式，用AVG扫描系统，用恶意软件清理助手扫描流氓软件！AVG没有发现！安全模式下无法删除三个文件！
3、重启，进入windows以后，问题依旧，于是运行icesword，在进程中找不到njaiml49.dll的线程！卡巴5.0不停报警！于是，卸载卡巴5.0，装上6.0.0.307版本，扫描system32文件夹，奇怪的是，无任何发现！
因为扫描的时候，卡巴的病毒库还没有升级完，所以并不能保证后续升级完病毒库以后不会发现问题！我感到奇怪的是，卡巴5报警，但是AVG和卡巴6.0都不报！
在进程中始终有一个Rundll32.exe进程，关闭这个进程，他装的雪狐桌面精灵就会提示出错！安装卡巴6以后，每隔一会卡巴的防火墙就会报称rundll32访问注册表等提示信息！
哪位遇到过类似情况，或者了解这个dll文件的，可以给我解释一下吗？
我目前的判断是，进程中的rundll32是雪狐桌面精灵调用的，至于报警有可能是卡巴5误报！但是，另一个兄弟认为，这三个文件一定是木马，而且认为rundll32已经被修改过了！
各位帮帮忙啊！！！！

Fvision

清除Trojan-Downloader.Win32.QQHelper.mo的方法！


下载一个叫unlocker的软件，很小的，用搜索引擎一找就能找到的，然后安装在任意目录。
C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）
然后你再用卡巴查毒看看

jpzy

我用了unlocker了，显示是不需要解锁！但是文件就是删不掉！

还有别的办法吗？

jpzy

没人知道吗？？？