瑞星发现这个病毒，也删掉了，但重启动后仍然反复出现。用Hijackthis扫描到一项可疑的东西，但windows下没有发现SVCHOSTI.exe。应该如何做？
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      9:55:36, 日期 2006-7-25
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Rising\Rav\RavStub.exe
D:\Program Files\Rising\Rfw\rfwmain.exe
D:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\soundman.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\System32\conime.exe
D:\Program Files\TheWorld\TheWorld.exe
E:\下载\工具\特殊工具\hijack\2535952005811174944\HijackThis1991zww.exe

R3 - URLSearchHook: bho Class - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v14.dll
O2 - BHO: Wbho Class - {40E3A34A-3282-41F8-AD2C-051BAB96AD4A} - C:\WINDOWS\System32\usign.dll (file missing)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll
O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [SoundMan] soundman.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\RunOnce: [RavStub] "D:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {2DCB00FB-3485-486B-BD41-C49AD605264D} (EZKeytecOCX Control) - http://kr.cdspace.com/EZKeytec/EZKeytec.cab
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.tvkoo.com/update/KooPlayer.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142490141755
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} - http://ps.itv.mop.com/dn/files/vodupdate_1.0.0.8_20051009.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B57ED6D-3608-45E5-B006-FC6B9D99B4AF}: NameServer = 61.128.128.68,0.0.0.0
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: proplanm (problanm) - Unknown owner - C:\WINDOWS\SVCHOSTI.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe

Rootkit.Vanti.gen怎么杀？

其实中毒后的处理方法就是那么几种，但是借助杀毒软件用手工方法处理是最为 有效的！！！！ 木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀
毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸
或安全之星XP，它们在查杀木马方面很有一套！ 由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。
方法是：1.)检查注册表
E x/_*f q.x 看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和 ]QzH U(qQ1FV
HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有 )以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的
键值，再删除相应的应用程序。 2.)检查启动组 木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场
所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼ G1a
start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼
]:kB y$lY4Zv3_u Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经 i?L| c
常检查这两个地方哦！ +d.JAY&@r
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方
y2O5w o | z rF5s 比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么
%QA ttE*V8V0|+TM1{}v$~ 程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的
e ?/ylF&Z Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看 3mI3v [-?``V o([
到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可 )mM/_7`-h#lB$b
能就是木马服务端程序！赶快检查吧。 RJp!Q6o d6RHSf5v
4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里 ;}){'Y$Ygv9Uy!D['\B
C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。
.DsB&RNVT] x 5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否
B*Pw0soM 打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木 -vN8nPa{
马程序，只好再找一个这样的程序，重新安装一下了。 bK$BPf U+d,z+h'P
6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动
所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分
(P,|+UX l;k#V e 木马应该没问题的。
另外，你也可以试试用下面的办法来解决：
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用

这个是下载地址。http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
0j6w6R
e:{ http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是无法遁身的。开启的非法进程会以红色显示出来。

原来这个是一个隐藏文件，在安全模式下将隐藏文件找出来后就可以删掉了。