瑞星卡卡安全论坛

我的电脑内中了一个名叫：svchost.exe的木马，用木马杀客杀毒后提示需要在安全模式下才能杀掉，进入安全模式后也杀不掉，通过HijackThis扫描日志经过修复后，也不行，现在找到这个文件了，无论如何也删除不掉它，进入安全模式也无法删除，请问那位高手如何才能删除它或者杀掉它。谢谢，我在线等。

这是我的扫描日志：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:42:45, 日期 2005-12-9
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
e:\program files\rising\rfw\rfwsrv.exe
E:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
j:\Program Files\Gizmo Project\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\oodag.exe
E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\Explorer.EXE
e:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
J:\Program Files\木马杀客\mmsk.exe
e:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.999\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - E:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [RfwMain] "E:\Program Files\rising\Rfw\rfwmain.exe" -startup
O4 - 启动项HKLM\\Run: [RavTimer] E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] E:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\RunServices: [USB Hardware9 Monitoring] USBhardware9.exe
O4 - 启动项HKLM\\RunServices: [Configuration Loader] scvhost.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "E:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: PhotoWise QuickLink.lnk = C:\Program Files\PhotoWise\quicklnk.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - E:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Flash2X Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - 浏览器额外的“工具”菜单项: &Launch Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5AD1C9D-9EA4-4FDF-8E66-FDACAE68ACF0}: NameServer = 202.99.160.68 202.99.168.8
O23 - NT 服务: Bonjour Service - Apple Computer, Inc. - j:\Program Files\Gizmo Project\mDNSResponder.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - e:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\PROGRAM FILES\RISING\RAV\Ravmond.exe

【回复“舒一凡”的帖子】
在安全模式下，将你找到的那个病毒文件用WINRAR打包，发到：baohelin@yahoo.com.cn

2楼，我已发到你所指定的邮箱内，收到后麻烦你能告诉我如何解决。谢谢！

【回复“舒一凡”的帖子】
你发的是正常系统文件，而不是病毒。
与我的SVCHOST比较，你这个只是版本较低而已（你的系统未装SP2的缘故）。

版主，他的问题在这O4 - 启动项HKLM\\RunServices: [Configuration Loader] scvhost.exe  应该使用搜索－输入scvhost.*  （要显示所有隐藏和系统文件）然后把找到的打包发给版主

但我一杀毒时提示是木马，请看图片：

附件: 3167412005129183242.jpg

【回复“舒一凡”的帖子】
昨天，我就告诉过你怎么找那个特殊的SVCHOST：
打开注册表编辑器，搜索包含Configuration Loader的注册表项（在左栏中）。找到后核对其对应的右栏内容，如果右栏中能看见SVCHOST.EXE，就对了。能看到右栏中的SVCHOST.EXE，就能看到这个SVCHOST.EXE的路径。
接下来，记下这个路径；删除这个Configuration Loader。重启系统。
重启后，按照那个路径找病毒文件SVCHOST.EXE。明白？

我进入注册表了，也找到它了，可删除不掉呀。

【回复“舒一凡”的帖子】
刚看到6楼的图。那个SVCHOST.EXE你找不到了（已经不存在了）。在注册表中把Configuration Loader删除，就行了。

引用:

【舒一凡的贴子】我进入注册表了，也找到它了，可删除不掉呀。 ...........................

用IceSword删！

麻烦你在看一下：

附件: 3167412005129185132.jpg

【回复“baohe”的帖子】

你说的那是什么软件。网上有吗？

谢谢版主，我在注册表里已经删除了，就剩下C盘内的了。用你提出的软件。