瑞星卡卡安全论坛

请各位帮助，我的电脑有一个名称为：svchost.exe的木马，在启动项里，我杀木马时提示我进入安全模式里杀毒，可我进入后也没有杀掉，但我在进项里强行关闭时提示我离关机还有59秒，59秒后自动关机重新启动电脑。搜索也查不到这个名称。如何才能删除掉它。谢谢。如图。在线等。

附件: 3167412005128171310.jpg

安全模式下面查杀一次吧

查了，进入正常时还有，另外 这个是什么病毒。

在%windows%目录里的那个文件可能是灰鸽子，扫个日志吧。

建议到http://forum.ikaka.com/topic.asp?board=28&artid=6979213  1楼下载HijackThis工具，把扫描的日志贴上来（复制－张贴）

这是我的：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:38:06, 日期 2005-12-8
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
e:\program files\rising\rfw\rfwsrv.exe
E:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
j:\Program Files\Gizmo Project\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\oodag.exe
E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
e:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\PhotoWise\quicklnk.exe
C:\Program Files\Internet Explorer\iexplore.exe
J:\Program Files\木马杀客\mmsk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
e:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.130\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - E:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [RfwMain] "E:\Program Files\rising\Rfw\rfwmain.exe" -startup
O4 - 启动项HKLM\\Run: [RavTimer] E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] E:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\RunServices: [USB Hardware9 Monitoring] USBhardware9.exe
O4 - 启动项HKLM\\RunServices: [Configuration Loader] scvhost.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "E:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: PhotoWise QuickLink.lnk = C:\Program Files\PhotoWise\quicklnk.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - E:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Flash2X Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - 浏览器额外的“工具”菜单项: &Launch Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5AD1C9D-9EA4-4FDF-8E66-FDACAE68ACF0}: NameServer = 202.99.160.68 202.99.168.8
O20 - AppInit_DLLs: APIHookDll.dll
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\System32\DLMain.dll (file missing)
O23 - NT 服务: Bonjour Service - Apple Computer, Inc. - j:\Program Files\Gizmo Project\mDNSResponder.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - e:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\PROGRAM FILES\RISING\RAV\Ravmond.exe

修复O4 - 启动项HKLM\\RunServices: [Configuration Loader] scvhost.exe 
并以“scvhost.exe”和“scvhost*.dll”搜索（要显示所有隐藏文件）把找到的删除

【回复“舒一凡”的帖子】
O4 - 启动项HKLM\\RunServices: [Configuration Loader] scvhost.exe
打开注册表编辑器，依次点击 HKEY_LOCAL_MACHINE、SOFTWARE、MICROSOFT、WINDOWS、CURRENTVERSION、RUNSERVICES，看看并记下Configuration Loader项中scvhost.exe的路径。
删除Configuration Loader项。
重启系统。
根据刚才看到的路径，找到那个scvhost.exe，删除。

O20 - AppInit_DLLs: APIHookDll.dll
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\System32\DLMain.dll (file missing)
好像不光是灰鸽子吧，这好像是斑竹前两天讨论的那个变态木马Trojan.DL.Agent.的dll

7楼，你好，Configuration Loader，这一项删除不掉呀，还有
O4 - 启动项HKLM\\RunServices: [Configuration Loader] scvhost.exe
修复了还有呀

修复、重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）

开始→控制面板→性能和维护→管理工具→服务→查找Local Network Service→右击→属性→启动类型→禁止→应用→停止→确定。

在注册表里搜索删除scvhost.exe、scvhost.dll、scvhost_hook.dll相关项。


然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除：scvhost.exe、scvhost.dll、scvhost_hook.dll(如果有的话)

O4 - 启动项HKLM\\RunServices: [USB Hardware9 Monitoring] USBhardware9.exe
O4 - 启动项HKLM\\RunServices: [Configuration Loader] scvhost.exe

【回复“舒一凡”的帖子】那个scvhost.exe的路径？

伪装得很好饿，本来是svchost.exe,改成了scvhost.exe差得没看出来．