扫描结果如下:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      19:16:15, 日期 2005-11-3
操作系统：  Windows 2003  (WinNT 5.02.3790)
浏览器：    Internet Explorer v6.00 (6.00.3790.0000)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
d:\Program Files\PeanutHull3\Phmain.exe
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Sandai Technologies Inc\ThunderMini\ThunderMini.exe
D:\Program Files\3721\ske\TrojanAssistant.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
D:\PROGRAM FILES\RISING\RAV\RavStub.exe
D:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
d:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Administrator\桌面\4842302005817230232\HijackThis1991zww.exe

F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O2 - BHO: YiSou - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\YiSou\yisoub.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll
O3 - IE工具栏增项: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\Program Files\YiSou\yisou.dll
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\Run: [迅雷4] D:\Program Files\Sandai Technologies Inc\Thunder\TDUpdate.exe
O4 - 启动项HKLM\\Run: [thunder_mini] D:\Program Files\Sandai Technologies Inc\ThunderMini\ThunderMini.exe
O4 - 启动项HKLM\\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [services] C:\WINDOWS\services.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\RuunServices:[services] C:\WINDOWS\services.exe
O8 - IE右键菜单中的新增项目: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Sandai Technologies Inc\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Sandai Technologies Inc\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: &使用迷你迅雷下载 - D:\Program Files\Sandai Technologies Inc\ThunderMini\geturl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - F:\常用软件备份\QQ\腾讯QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\常用软件备份\QQ\腾讯QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\常用软件备份\QQ\腾讯QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\常用软件备份\QQ\腾讯QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - 浏览器额外的按钮: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - D:\Program Files\sina\UC\UC.exe
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=?allyesPara=816 (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/?source=Cns (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: 新浪点点通 - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - D:\PROGRA~1\sina\UC\UCddt\DDTONG~1.DLL
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {974AD624-EA50-4831-A6C0-3040F6665396} - D:\PROGRA~1\sina\UC\UCddt\rssband.dll (HKCU)
O9 - 浏览器额外的“工具”菜单项: 新浪点点通阅读器 - {974AD624-EA50-4831-A6C0-3040F6665396} - D:\PROGRA~1\sina\UC\UCddt\rssband.dll (HKCU)
O9 - 浏览器额外的按钮: 新浪点点通阅读器 - {F0646DC8-58CD-4C64-8F6B-525043914685} - D:\PROGRA~1\sina\UC\UCddt\rssband.dll (HKCU)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130772811531
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC62289-AB9D-4778-A1E6-92182CD05007}: NameServer = 221.228.255.1 218.2.135.1
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: Peanuthull - 广东网域与上海多点 - d:\Program Files\PeanutHull3\Phmain.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



另:用3721修复,显示如下:


在您的电脑中共发现了 48 个被修改过的条目(其中：危险-3 有风险-2个 未知-11个 基本安全-32个) 

　 组别 描述 公司 安全等级
  O04 - 自动运行项(Run) 疑似恶意程序 swauijksd78jkdiosdui2iosduiowuio  危险
  描述： 疑似恶意程序
文件路径： C:\WINDOWS\services.exe  察看版本信息
内容： C:\WINDOWS\services.exe
修复方法： 我们将把此项删除，并查杀相关文件  修复此项

  O04 - 自动运行项(Run) 疑似恶意程序 swauijksd78jkdiosdui2iosduiowuio  危险
  描述： 疑似恶意程序
文件路径： C:\WINDOWS\services.exe  察看版本信息
内容： C:\WINDOWS\services.exe
修复方法： 我们将把此项删除，并查杀相关文件  修复此项

  O04 - 自动运行项(RunServices) 疑似恶意程序 swauijksd78jkdiosdui2iosduiowuio  危险
  描述： 疑似恶意程序
文件路径： C:\WINDOWS\services.exe  察看版本信息
内容： C:\WINDOWS\services.exe
修复方法： 我们将把此项删除，并查杀相关文件  修复此项

  F01 - Win.ini中的run项 C:\WINDOWS\services.exe C:\WINDOWS\services.exe  有风险
  描述： C:\WINDOWS\services.exe
文件路径： C:\WINDOWS\services.exe  察看版本信息
内容： C:\WINDOWS\services.exe
修复方法： 我们将把此项删除，并查杀相关文件  修复此项

  O04 - 系统自动run项(NT) C:\WINDOWS\services.exe C:\WINDOWS\services.exe  有风险


同时下一项不能修复:
O17 - 本机网络设置 NameServer 221.228.255.1 218.2.135.1  未知
  描述： 221.228.255.1 218.2.135.1
内容： 221.228.255.1 218.2.135.1
修复方法： 我们无法安全的修复它，请向您的服务提供商(ISP)咨询DNS的IP并恢复之


情况就是这样,请各位大侠 帮助解决!!!先谢谢了 盼回复!!!!

C:\WINDOWS\services.exe
F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O4 - 启动项HKLM\\Run: [services] C:\WINDOWS\services.exe
O4 - 启动项HKLM\\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\RuunServices:[services] C:\WINDOWS\services.exe

木马.

试试:
1.启动到安全模式(启动电脑，开机检测完后，按[F8]键(可以一直按到启动菜单出来为止)，选择安全模式进入Windows).
用HijackThis修复:
F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O4 - 启动项HKLM\\Run: [services] C:\WINDOWS\services.exe
O4 - 启动项HKLM\\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\RuunServices:[services] C:\WINDOWS\services.exe
2.终止木马进程services.exe（推荐用IcesWord,新版卡卡也不错,可以看到进程的路径.同时按下CTRL+ALT+DELETE任务管理器看不到路径,有个同名的正常进程,小心!)
3.删除木马文件C:\WINDOWS\services.exe(注意路径,C:\WINDOWS\system32\services.exe是正常的).
4.进入注册表清理:
HKLM\\Run: [services] C:\WINDOWS\services.exe
HKLM\\RunServices: [services] C:\WINDOWS\services.exe
HKCU\..\Run: [services] C:\WINDOWS\services.exe
HKCU\..\RuunServices:[services] C:\WINDOWS\services.exe
重启到正常模式.

【回复“老大论坛”的帖子】
楼上正解.

这个C:\WINDOWS\services.exe蛮有趣,打包给我谢谢.
请把此文件压缩加密为virus发到我的邮箱  rsvirus@163.com 并注明此贴地址我会尽快做处理，谢谢合作。

》》如何压缩加密？----http://forum.ikaka.com/topic.asp?board=67&artid=7241343

谢谢帮助, 问题基本解决 刚才重启 我故意输错了一个地址 再也没有跳转到我说的网页!
(问题解决过程中 )
第一步:HijackThis修复O4 -
无法修复下列此项
O4 - HKCU\..\RuunServices:[services] C:\WINDOWS\services.exe

第二步:
安全模式下找不到你说的木马进程services.exe
只有正常的C:\WINDOWS\system32\services.exe进程

第三步.删除木马文件C:\WINDOWS\services.exe
后 被迫60秒关机

重新启动后我接着做了第四步
regedit进入注册表清理:查找C:\WINDOWS\services.exe

结果只找到一个,然后清理

最后重新启动!

(以上是否还有问题?还请各位高手指点)

另外,斑竹要的services.exe木马程序已经压缩加密发送到你的邮箱,请查收!

最后再次谢谢你们的帮助!!!!!

【回复“老大论坛”的帖子】
您好,此问题在http://forum.ikaka.com/topic.asp?board=67&artid=7368999中已回复.