一位网友的电脑开机启时弹出错误信息框，说找不到文件helper.dll，让偶通过QQ远程协助帮忙检修。

用HijackThis扫描log，发现了雅虎/3721上网助手的启动项，卸载了。

用HijackThis扫描启动项列表，发现一些可疑服务：
/-----
StartupList report, 2007-2-6, 12:13:07
StartupList version: 1.52.2
Started from : F:\tools\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)

Enumerating Windows NT/2000/XP services
========================
bhjhbjgi: system32\drivers\bhjhbjgi.sys (system)
ddajddgf: system32\drivers\ddajddgf.sys (system)
hcbiajgf: system32\drivers\hcbiajgf.sys (system)
hyrenoym: System32\DRIVERS\hyrenoym.sys (system)
-----/
对应的文件都不存在了，到注册表里删除这些服务启动项。

手动检查，在c:\windows下发现三个可疑文件：

文件说明符 : D:\test\1757.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2002-2-8 12:31:42
修改时间 : 2007-2-6 12:45:52
访问时间 : 2007-2-6 12:50:24
大小 : 53248 字节 52.0 KB
MD5 : 904079ba8515ad11468bbb8a1f115915
是个自解压文件：
/-----
;以下注释包含自解压压缩包脚本命令
Setup=setup.exe
TempMode
Silent=1
Overwrite=1
-----/

文件说明符 : D:\test\199019002.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2002-2-8 12:31:42
修改时间 : 2007-2-6 12:45:52
访问时间 : 2007-2-6 12:56:24
大小 : 53248 字节 52.0 KB
MD5 : c035ac8901090e9b37a6914c9808445a

是个自解压文件：
/-----
;下面的注释包含自解压脚本命令

Setup=downl.exe 199019002
TempMode
Silent=1
Overwrite=1
-----/
包含文件:hbcast.dll，Kaspersky报为：not-a-virus:AdWare.Win32.HengBang.t

文件说明符 : D:\test\ss10212.EXE
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2002-2-8 12:31:42
修改时间 : 2007-2-6 12:45:52
访问时间 : 2007-2-6 13:06:24
大小 : 53248 字节 52.0 KB
MD5 : 1e51a45c87befb1f15067bc5f50ac950
从图标和文件大小上看，像是一个灰鸽子
其实是个安装程序，Kaspersky扫描，发现：
Trojan.Win32.Zapchast.cl
not-a-virus:AdWare.Win32.NewWeb.f

都删除了。