安全模式 没杀出病毒  登陆前扫描发现病毒  重起后又有


扫描时间              扫描方式          病毒数量  清除数量  文件数   
2006-01-03 19:03:35  手动扫描          0        0        46478   
2006-01-03 20:46:42  手动扫描          1        1        46611   
2006-01-03 20:56:01  手动扫描          0        0                 
2006-01-03 20:57:04  手动扫描          0        0        2610     
2006-01-03 21:18:27  手动扫描          1        1        5862     


  病毒名称          发现日期        处理结果    扫描方式                  路径                                文件          Trojan.RootKit.d  2006-01-03 20:26  删除成功    文件监控          C:\WINDOWS\system32                      puipr.sys     
Trojan.RootKit.d  2006-01-03 20:46  删除成功    文件监控          C:\WINDOWS\system32                        cgq.sys               
Backdoor.Gpigeon.ugu 2006-01-03 20:46 清除成功  手动扫描  IEXPLORE.EXE>>C:\Program Files\Internet    Explorer\IEXPLORE.EXE                                                                                                                                Trojan.RootKit.d    2006-01-03 21:16  删除成功  文件监控            C:\WINDOWS\system32                      81u.sys     

Backdoor.Gpigeon.ugu 2006-01-03 21:18 清除成功    手动扫描  IEXPLORE.EXE>>C:\Program Files\Internet    Explorer\IEXPLORE.EXE


HijackThis_815汉化版扫描日志 V1.99.1
保存于      18:31:33, 日期 2006-1-3
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
e:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
e:\Program Files\Rising\Rav\Ravmond.exe
e:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
e:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
E:\Program Files\Logitech\iTouch\iTouch.exe
E:\Program Files\Rising\Rav\RavTask.exe
E:\Program Files\Rising\Rav\Ravmon.exe
e:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\DrCOM\Dr.COM 宽带登录客户端\ishare_user.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\conime.exe
E:\Program Files\瑞星远程专家门诊系统-标准版\RisingMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - 启动项HKLM\\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - 启动项HKLM\\Run: [zBrowser Launcher] e:\Program Files\Logitech\iTouch\iTouch.exe
O4 - 启动项HKLM\\Run: [RavTask] "e:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "e:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - E:\Program Files\Thunder Network\Thunder\getallurl.htm
O9 - 浏览器额外的按钮: 中文 - {0D5C2EA0-EDCD-11D3-86A5-0088CC224026} - E:\PROGRA~1\Herosoft\TransIII\APPLIC~1\TransIE.dll
O9 - 浏览器额外的“工具”菜单项: 中文 - {0D5C2EA0-EDCD-11D3-86A5-0088CC224026} - E:\PROGRA~1\Herosoft\TransIII\APPLIC~1\TransIE.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdog1.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdog1.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdog1.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdogr0.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdogr0.dll
O14 - IERESET.INF: START_PAGE_URL=http://tomatolei.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132149973468
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132150102578
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - e:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - e:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - NT 服务: SVCH0ST - Unknown owner - C:\WINDOWS\SVCH0ST.EXE

修复
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - NT 服务: SVCH0ST - Unknown owner - C:\WINDOWS\SVCH0ST.EXE

删除C:\WINDOWS\SVCH0ST.EXE

dos下杀毒，我记得现在瑞星也弄了一个类似系统启动前杀毒的，就是哪个瑞星的标志，点一下看有没有。系统启动前杀毒对于rootkit有效

引用:
【不言放弃的贴子】修复 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O23 - NT 服务: SVCH0ST - Unknown owner - C:\WINDOWS\SVCH0ST.EXE 怎么修复啊 大哥 谢谢你了