瑞星卡卡安全论坛

开机防火墙提示我电脑有四个木马，但是用瑞星杀不了。
帮我分析分析！
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      12:59:21, 日期 2005-7-15
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\rising\rav\RavTimer.exe
C:\Program Files\rising\rav\RavMon.exe
C:\WINDOWS\System32\msgame32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\mapi32.exe
C:\Program Files\rising\rav\CCenter.exe
C:\Program Files\rising\rav\RavMonD.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\rising\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [RavTimer] C:\Program Files\rising\rav\RavTimer.exe
O4 - 启动项HKLM\\Run: [RavMon] C:\Program Files\rising\rav\RavMon.exe
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - 启动项HKLM\\Run: [Microsoft Windows Game Updater] msgame32.exe
O4 - 启动项HKLM\\Run: [msdirectx32] C:\WINDOWS\System32\msdirectx32.exe
O4 - 启动项HKLM\\Run: [Microsoft Update] wupdate.exe
O4 - 启动项HKLM\\Run: [time] time.exe
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\RunServices: [RavMon] C:\Program Files\rising\rav\RavMon.exe /AUTO
O4 - 启动项HKLM\\RunServices: [Microsoft Windows Game Updater] msgame32.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Update] wupdate.exe
O4 - 启动项HKLM\\RunServices: [time] time.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [time] time.exe
O4 - HKCU\..\Run: [Microsoft Update] wupdate.exe
O4 - HKCU\..\Run: [msdirectx32] C:\WINDOWS\System32\msdirectx32.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O8 - IE右键菜单中的新增项目: 使用Kugoo下载 - C:\PROGRA~1\KuGoo2\KugooDownX.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing)
O16 - DPF: {C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} (Kingsoft DUBA OnlineScan) - http://211.152.52.102/duba/antiscan/update/OCX/KAVClean.CAB
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O16 - DPF: {DDA166FA-B3EA-4A3B-8EE2-4F552CDEEE81} (KATScan Control) - http://ol.db.kingsoft.com/antitrojan/setup/KATScan.CAB
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CF4BEA4-FA51-4E92-9E6C-D3C01BD31A5E}: NameServer = 61.139.2.69 202.98.96.68
O23 - NT 服务: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
O23 - NT 服务: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\system32\PopUpBlocker8.exe (file missing)
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\Program Files\rising\rav\CCenter.exe
O23 - NT 服务: Rising Realtime Monitor Service (RsRavMon) - rising - C:\Program Files\rising\rav\RavMonD.exe

O4 - 启动项HKLM\\Run: [msdirectx32] C:\WINDOWS\System32\msdirectx32.exe
O4 - 启动项HKLM\\Run: [Microsoft Update] wupdate.exe
O4 - 启动项HKLM\\Run: [time] time.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Windows Game Updater] msgame32.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Update] wupdate.exe
O4 - 启动项HKLM\\RunServices: [time] time.exe
O4 - HKCU\..\Run: [time] time.exe
O4 - HKCU\..\Run: [Microsoft Update] wupdate.exe
O4 - HKCU\..\Run: [msdirectx32] C:\WINDOWS\System32\msdirectx32.exe
O23 - NT 服务: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\system32\PopUpBlocker8.exe (file missing)
O23 - NT 服务: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe

如果使用了系统还原，请先关闭。
请关闭所有浏览器窗口和文件夹窗口, 在安全摸试下修复上面几项)（如果你清楚某项是安全的，可以不处理）
，将隐藏的文件不隐藏。找到下面几项
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\system32\PopUpBlocker8.exe
C:\WINDOWS\System32\msdirectx32.exe
WINDOWS\System32\msgame32.exe
把它们删除。

在线等啊~~！！

谢谢 我试试~~~

顶！删除不了请下载killbox强行解决

前面几项都删了，但是
O23 - NT 服务: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\system32\PopUpBlocker8.exe (file missing)
O23 - NT 服务: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe

这两项之顽强！~~~~

如果还删除不了，就下载
KillBox

这里介绍的是一款删除顽固文件的利器——KillBox。感谢Qoo酷儿版主为大家带来了汉化版(在本贴附件中)。

谢谢zww3008朋友提供LSPFix汉化版(http://forum.ikaka.com/topic.asp?board=67&artid=6491502)
下载地址：http://forum.ikaka.com/download.asp?id=6491502


详细介绍请看这一帖——原创之转帖--介绍 KillBox@Qoo 的使用
http://forum.ikaka.com/topic.asp?board=28&artid=5454397

我在安全模式下也终止不了mapi32.exe的进程 ，
而且也不能修复那两项~~看来只有下~~~killbox咯

使用Killbox之后的日志：帮忙看看啊
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      14:40:48, 日期 2005-7-15
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\rising\rav\RavTimer.exe
C:\Program Files\rising\rav\RavMon.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\WINDOWS\System32\msgame32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\rising\rav\CCenter.exe
C:\Program Files\rising\rav\RavMonD.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\mapi32.exe
C:\Program Files\rising\反劫持\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [RavTimer] C:\Program Files\rising\rav\RavTimer.exe
O4 - 启动项HKLM\\Run: [RavMon] C:\Program Files\rising\rav\RavMon.exe
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [Microsoft Windows Game Updater] msgame32.exe
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\RunServices: [RavMon] C:\Program Files\rising\rav\RavMon.exe /AUTO
O4 - 启动项HKLM\\RunServices: [Microsoft Windows Game Updater] msgame32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O8 - IE右键菜单中的新增项目: 使用Kugoo下载 - C:\PROGRA~1\KuGoo2\KugooDownX.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing)
O16 - DPF: {C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} (Kingsoft DUBA OnlineScan) - http://211.152.52.102/duba/antiscan/update/OCX/KAVClean.CAB
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O16 - DPF: {DDA166FA-B3EA-4A3B-8EE2-4F552CDEEE81} (KATScan Control) - http://ol.db.kingsoft.com/antitrojan/setup/KATScan.CAB
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CF4BEA4-FA51-4E92-9E6C-D3C01BD31A5E}: NameServer = 61.139.2.69 202.98.96.68
O23 - NT 服务: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe (file missing)
O23 - NT 服务: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\system32\PopUpBlocker8.exe (file missing)
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\Program Files\rising\rav\CCenter.exe
O23 - NT 服务: Rising Realtime Monitor Service (RsRavMon) - rising - C:\Program Files\rising\rav\RavMonD.exe

还在等啊~~~~~

【回复“菲达”的帖子】
请启动到安全模式，如果使用了系统还原，请先关闭。
开始--控制面板--管理工具--服务
停止并禁用MAPI Mail Client (MAPI) - Unknown owner
          Net Functions Library (Netlib) - Unknown owner
终止下列进程
C:\WINDOWS\System32\msgame32.exe
C:\WINDOWS\System32\mapi32.exe
请关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在下列建议修复的项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）：
C:\WINDOWS\System32\msgame32.exe
C:\WINDOWS\System32\mapi32.exe
O4 - 启动项HKLM\\Run: [Microsoft Windows Game Updater] msgame32.exe
O23 - NT 服务: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe (file missing)
O23 - NT 服务: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\system32\PopUpBlocker8.exe (file missing)
删除文件（如果存在的话）
C:\WINDOWS\System32\msgame32.exe
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\system32\PopUpBlocker8.exe

我在安全模式下都不能终止mapi32.exe的进程。
Killbox已经修复那几项，用HijackThis扫描：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\rising\rav\RavTimer.exe
C:\Program Files\rising\rav\RavMon.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\rising\rav\CCenter.exe
C:\Program Files\rising\rav\RavMonD.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\mapi32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\rising\反劫持\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [RavTimer] C:\Program Files\rising\rav\RavTimer.exe
O4 - 启动项HKLM\\Run: [RavMon] C:\Program Files\rising\rav\RavMon.exe
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\RunServices: [RavMon] C:\Program Files\rising\rav\RavMon.exe /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O8 - IE右键菜单中的新增项目: 使用Kugoo下载 - C:\PROGRA~1\KuGoo2\KugooDownX.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing)
O16 - DPF: {C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} (Kingsoft DUBA OnlineScan) - http://211.152.52.102/duba/antiscan/update/OCX/KAVClean.CAB
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O16 - DPF: {DDA166FA-B3EA-4A3B-8EE2-4F552CDEEE81} (KATScan Control) - http://ol.db.kingsoft.com/antitrojan/setup/KATScan.CAB
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CF4BEA4-FA51-4E92-9E6C-D3C01BD31A5E}: NameServer = 61.139.2.69 202.98.96.68
O23 - NT 服务: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe (file missing)
O23 - NT 服务: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\system32\PopUpBlocker8.exe (file missing)
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\Program Files\rising\rav\CCenter.exe
O23 - NT 服务: Rising Realtime Monitor Service (RsRavMon) - rising - C:\Program Files\rising\rav\RavMonD.exe

C:\WINDOWS\System32\mapi32.exe 用HijackThis修复之后，下次仍会出现。
但是在进程中已经看不到了。

C:\WINDOWS\System32\mapi32.exe 
在Killbox中修复它，系统提示找不到该文件。

请启动到安全模式，如果使用了系统还原，请先关闭。
使用HijackThis中的进程管理器来终止进程的步骤是：

　　<下面的叙述以1.99.1版本为准>

　　1。运行HijackThis

　　2。点击“打开混合工具箱”按钮（英文版为“Open the Misc Tools section”按扭）

　　3。点击“打开简易进程管理器”（英文版为“Open process Manager”按扭）

　　4。单击选定要终止的进程，点击“终止进程”按钮（英文版为“Kill process”按扭）。

来终止C:\WINDOWS\System32\mapi32.exe进程
请关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在下列建议修复的项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）：
O23 - NT 服务: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe (file missing)-这个服务还在吗？-如果在请停止并禁用
删除文件（如果存在的话）
C:\WINDOWS\System32\mapi32.exe (file missing)-用windows的搜索功能

按你说的在安全模式下进入管理工具—服务终止了MAPI和另外一个进程。
扫描日志：
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      15:52:49, 日期 2005-7-15
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\rising\rav\RavTimer.exe
C:\Program Files\rising\rav\RavMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\rising\rav\CCenter.exe
C:\Program Files\rising\rav\RavMonD.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\反劫持\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [RavTimer] C:\Program Files\rising\rav\RavTimer.exe
O4 - 启动项HKLM\\Run: [RavMon] C:\Program Files\rising\rav\RavMon.exe
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\RunServices: [RavMon] C:\Program Files\rising\rav\RavMon.exe /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O8 - IE右键菜单中的新增项目: 使用Kugoo下载 - C:\PROGRA~1\KuGoo2\KugooDownX.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing)
O16 - DPF: {C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} (Kingsoft DUBA OnlineScan) - http://211.152.52.102/duba/antiscan/update/OCX/KAVClean.CAB
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O16 - DPF: {DDA166FA-B3EA-4A3B-8EE2-4F552CDEEE81} (KATScan Control) - http://ol.db.kingsoft.com/antitrojan/setup/KATScan.CAB
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\Program Files\rising\rav\CCenter.exe
O23 - NT 服务: Rising Realtime Monitor Service (RsRavMon) - rising - C:\Program Files\rising\rav\RavMonD.exe

用搜索功能找不到mapi32.exe

log正常
系统应该没什么问题了！

引用:

【菲达的贴子】按你说的在安全模式下进入管理工具—服务终止了MAPI和另外一个进程。 扫描日志： HijackThis_zww汉化版扫描日志 V1.99.1 保存于      15:52:49, 日期 2005-7-15 操作系统：  Windows XP SP1 (WinNT 5.01.2600) 浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程：          C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\program files\rising\rfw\rfwsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE c:\program files\rising\rfw\RfwMain.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\rising\rav\RavTimer.exe C:\Program Files\rising\rav\RavMon.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\rising\rav\CCenter.exe C:\Program Files\rising\rav\RavMonD.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\rising\反劫持\HijackThis1991zww.exe O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot O4 - 启动项HKLM\\Run: [RavTimer] C:\Program Files\rising\rav\RavTimer.exe O4 - 启动项HKLM\\Run: [RavMon] C:\Program Files\rising\rav\RavMon.exe O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - 启动项HKLM\\RunServices: [RavMon] C:\Program Files\rising\rav\RavMon.exe /AUTO O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe O8 - IE右键菜单中的新增项目: 使用Kugoo下载 - C:\PROGRA~1\KuGoo2\KugooDownX.htm O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm O9 - 浏览器额外的按钮: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing) O16 - DPF: {C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} (Kingsoft DUBA OnlineScan) - http://211.152.52.102/duba/antiscan/update/OCX/KAVClean.CAB O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab O16 - DPF: {DDA166FA-B3EA-4A3B-8EE2-4F552CDEEE81} (KATScan Control) - http://ol.db.kingsoft.com/antitrojan/setup/KATScan.CAB O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan ) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\Program Files\rising\rav\CCenter.exe O23 - NT 服务: Rising Realtime Monitor Service (RsRavMon) - rising - C:\Program Files\rising\rav\RavMonD.exe 用搜索功能找不到mapi32.exe ...........................

打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

还有一种可能是HijackThis在修复时把这个文件删除了。

搜索到与mapi相关的文件15个，我把它改名删除，但是删除之后它又自动生成。

就是这些。。。

附件: 5343552005715163608.jpg

清空IE临时文件夹试试

找到msgame32.exe，改名后删除成功。
我想可能是HijackThis在修复时把mapi那个文件删除了。
上面那15个文件是系统文件吗？安全的？
还是有病毒的？~

ImapiService（IMAPI CD刻录服务）的进程名是Imapi.exe，WinXP Home/Pro中默认安装的启动类型是手动，没有任何的服务依存关系。这个就是WinXP内置的CD刻录服务了

系统应该没什么问题了吧？ 这几天都没有上什么网站，只开过QQ，斗过地主，耍过泡泡，在sina下过一个虚拟光驱，现在已经把它删掉了。怎么会有这么多木马&病毒呢？
还有就是三国群英传IV，但是它是正版的，不会有什么问题吧~？

qq是否接收过什么文件或者链接到一些网站

引用:

【菲达的贴子】找到msgame32.exe，改名后删除成功。 我想可能是HijackThis在修复时把mapi那个文件删除了。 上面那15个文件是系统文件吗？安全的？ 还是有病毒的？~ ...........................

应该没有什么问题

QQ啊？
没有啊```
对于QQ的连接网站和传送的文件都比较谨慎 不会接的啦
因为上次遭过一次传奇木马 损失惨重啊！