瑞星卡卡安全论坛
C++果冻 - 2005-9-25 22:55:00
| 引用: |
【baohe的贴子】
你这个SSM肯定是最新版的。
这个版本的SSM, 其module监控记录是实时刷新的,哪个停止了、哪个开启了,都显示出来,一会儿,就满屏了。很烦。需要适应。
其中有无异常——需要自己分辨。
........................... |
哦,是这样的,是最新的。我是从今天下午才开始用SSM的,以前没用过,所以以为是自己哪里没有设置好呢,呵呵……是有些烦哦,总是跳出来,不过安全第一,安全第一。
谢谢版主了!你头像的那只大猫好可爱,呵呵……
C++果冻 - 2005-9-25 22:59:00
| 引用: |
【kying的贴子】楼主,本人真的需要你的帮忙,真的是不耻下问了!
在瑞星中已经查出有"灰鸽子''病毒,怎么也杀不了.依照你的说法我下载了SSM,也是正常运行了,图1的设置已经设了,但是在后面的如你图2.3.4.5的"应用程序活动"没有出来,它是自己出来的对话框吗?能详细给我讲解一下吗???????
谢谢了!!!
........................... |
是不耻上问
baohe - 2005-9-25 23:01:00
| 引用: |
【kying的贴子】楼主,本人真的需要你的帮忙,真的是不耻下问了!
在瑞星中已经查出有"灰鸽子''病毒,怎么也杀不了.依照你的说法我下载了SSM,也是正常运行了,图1的设置已经设了,但是在后面的如你图2.3.4.5的"应用程序活动"没有出来,它是自己出来的对话框吗?能详细给我讲解一下吗???????
谢谢了!!!
........................... |
这个帖子的标题是“ 怎样挡住灰鸽子”,即:灰鸽子没进入系统前的防御方法。
你的情况是——鸽子已经进入系统了,再下载安装SSM。
你的问题与这个帖子谈的不是一回事。请用HijackThis1.99.1扫系统日志贴上来看。这是解决问题的第一步——侦查敌情。
李澎 - 2005-9-26 0:46:00
| 引用: |
【baohe的贴子】
你这个SSM肯定是最新版的。
这个版本的SSM, 其module监控记录是实时刷新的,哪个停止了、哪个开启了,都显示出来,一会儿,就满屏了。很烦。需要适应。
其中有无异常——需要自己分辨。
........................... |
那就让它一直望外出吗?很烦呀,也有些害怕。请指教
Mrdsr - 2005-9-26 1:05:00
我中了灰鸽 这是扫描结果:
Logfile of HijackThis v1.99.1
Scan saved at 骇客帝国骇客帝国 00:58, on 2005-9-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
E:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\nvsvc32.exe
E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
E:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\RISING\RAV\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
G:\WinRAR\WinRAR.exe
C:\DOCUME~1\Mr.dsr\LOCALS~1\Temp\hijackthis1991.zip 的临时目录 5\HijackThis.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - F:\qq\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FlashGet\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - (no file)
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - E:\金山快~1\IEBand.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FlashGet\fgiebar.dll
O3 - Toolbar: 全能助手广告拦截专家 - {ED51E9A3-16C5-4236-99E0-9F093B021433} - E:\全能助手Windows优化王\AssistIEBar.dll
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RavTimer] E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] E:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\讯雷4\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\讯雷4\getAllurl.htm
O8 - Extra context menu item: 使用Kugoo下载 - E:\KuGoo2\KugooDownX.htm
O8 - Extra context menu item: 使用影音传送带下载 - E:\影音传送带\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - E:\影音传送带\NTAddList.html
O8 - Extra context menu item: 使用网际快车下载 - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到广告杀手 - E:\全能助手Windows优化王\AdKiller.htm
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方对战平台\GameClient.exe
O9 - Extra button: 网址大全 - {1FBA04EE-3024-11D2-8F1F-0000F87ABD18} - http://www.coc.cc (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\qq\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\qq\QQIEHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D5BB3B5-55A2-4B1A-A19D-1B2129968014}: NameServer = 61.187.191.3
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\Server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
请帮我看看那个是病毒.
baohe - 2005-9-26 8:03:00
【回复“Mrdsr”的帖子】
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\Server.exe
灰鸽子
过路问问 - 2005-9-26 8:28:00
我已经中招了。每次起了机的第一步就是杀毒。现在用的是瑞星的杀毒软件。怎么办啊?
爱上猫的狼 - 2005-9-26 9:17:00
灰鸽子真是利害,以前中过一次,诺顿没查出来,一气之下把诺顿删了,换上McAfee,前两天下载一个东西,明知道可能会有病毒,但想着已经开妈McAfee的杀毒和防火墙,就想考验一下,结果还又没查出来,还好灰鸽子老实,在服务项里自己就说了自己是灰鸽子,于是把进程关了,也删了,相应的程序也删了(只删那个EXE文件),看了这么多,还真有点可怕,就怕它给我绑点什么东西在别的程序里。
我想知道的是,这个灰鸽子如果没有服务项里的服务,它还能发作吗?
老头宝宝 - 2005-9-26 9:30:00
请问haohe版主,SSM和瑞星杀软、瑞星防火墙,同时开着会有冲突吗?
baohe - 2005-9-26 9:31:00
| 引用: |
【老头宝宝的贴子】请问haohe版主,SSM和瑞星杀软、瑞星防火墙,同时开着会有冲突吗?
........................... |
没有冲突.
SSM既不是杀软,也不是防火墙.
生甘草 - 2005-9-26 9:44:00
HijackThis_815汉化版扫描日志 V1.99.1
保存于 9:37:03, 日期 2005-9-26
操作系统: Windows 2000 SP4 (WinNT 5.00.2195)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
d:\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\regsvc.exe
D:\RISING\RAV\CCENTER.EXE
D:\RISING\RAV\Ravmond.exe
C:\WINDOWS\system32\MSTask.exe
D:\RISING\RAV\RavStub.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
d:\rising\rfw\RfwMain.exe
D:\RISING\RAV\RAVTIMER.EXE
D:\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\starter.exe
C:\USBStorage\USBDetector.exe
D:\adsl\HNMainUI.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\RISING\RAV\Rav.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\momo\桌面\HijackThis1991汉化版\HijackThis1991zww.exe
R3 - URLSearchHook: assist - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - (no file)
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FLASHGET\jccatch.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\zh-cn\msntb.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
O3 - IE工具栏增项: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\zh-cn\msntb.dll
O3 - IE工具栏增项: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O4 - 启动项HKLM\\Run: [RavTimer] D:\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [EnsoniqMixer] starter.exe
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [RfwMain] "d:\rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CONFLICT.1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - 启动项HKLM\\RunServices: [RavMon] D:\rising\rav\RavMon.exe /AUTO
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Phone\Skype.exe" /nosplash /minimized
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 收藏此页到ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - IE右键菜单中的新增项目: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_bjbta_922 (file missing)
O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://rd.3721.com/taobao.rd?http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http://www.taobao.com/buy1.php (file missing)
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm (file missing)
O9 - 浏览器额外的按钮: 手机短信 - {5DA5CC16-90A8-4c78-AB5E-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的按钮: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm (file missing)
O11 - Options group: [!CNS] 网络实名
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by18fd.bay18.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://pcastdl.dudu.com/files/pCastCtl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8481535F-8274-4CC6-8AE2-112C58FF9B8B}: NameServer = 202.106.46.151 202.106.0.20
O20 - AppInit_DLLs: APIHookDll.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\RISING\RAV\Ravmond.exe
O23 - NT 服务: system32 - Unknown owner - C:\WINDOWS\Ati HotKey Polle.exe
我种了灰鸽子,扫描了日志,然后怎末作呀!不好意思,菜鸟一只!
影子110 - 2005-9-26 9:59:00
O23 - NT 服务: system32 - Unknown owner - C:\WINDOWS\Ati HotKey Polle.exe
这个应该就是藏在里面的鸽子~~~~~
拿起SSM来对付它吧~~~~~
独孤豪侠 - 2005-9-26 10:01:00
【回复“影子110”的帖子】这个是鸽子不错,但是,SSM只能防鸽子,不能杀鸽子~杀鸽子还是要手动滴!!!!!!你教他怎么杀了.
老头宝宝 - 2005-9-26 10:10:00
haohe 版主,我怎么也选择不了在选项里的:作为服务自动开启这项,选了后退出再从新进就又跳回到了2项。我按了N次F3了
该怎么正确操作?要不我干脆选:无需自动开启项?
附件:
5420252005926101047.jpg
baohe - 2005-9-26 10:18:00
| 引用: |
【老头宝宝的贴子】haohe 版主,我怎么也选择不了在选项里的:作为服务自动开启这项,选了后退出再从新进就又跳回到了2项。我按了N次F3了
该怎么正确操作?要不我干脆选:无需自动开启项?
........................... |
附件:
1558472005926101817.JPG
独孤豪侠 - 2005-9-26 10:19:00
你F3按错地方了,在”添加"那一项上按F3!不要在移除上按F3
影子110 - 2005-9-26 10:22:00
首先用HijackThis修复O23 - NT 服务: system32 - Unknown owner - C:\WINDOWS\Ati HotKey Polle.exe
找到这个C:\WINDOWS\Ati HotKey Polle.exe
删除它~~~~
老头宝宝 - 2005-9-26 11:01:00
haohe斑竹
自起动选项是搞定了,可是每次起动后都会跳出下面这提示框,正常吗?
它显示一会移除就着又增加,
还真有点搞不懂
附件:
5420252005926110144.jpg
生甘草 - 2005-9-26 11:04:00
我先用瑞星杀了一遍,67只
Backdoor.Gpigeon.shk清除成功手动扫描Skype.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描csrss.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描winlogon.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描winlogon.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描services.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描lsass.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描rfwsrv.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描svchost.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描spoolsv.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描svchost.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描regsvc.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描CCENTER.EXE>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Ravmond.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描MSTask.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描MSTask.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RavStub.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描WinMgmt.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描IEXPLORE.EXE>>C:\WINDOWS\Ati HotKey Polle.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描IEXPLORE.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描IEXPLORE.EXE>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描IEXPLORE.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描svchost.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描svchost.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Explorer.EXE>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Explorer.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Rundll32.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Rundll32.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RfwMain.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RfwMain.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RAVTIMER.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RAVMON.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描starter.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描USBDetector.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描msnmsgr.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Skype.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk删除成功手动扫描C:\WINDOWSAti HotKey Polle.DLL本机
Backdoor.Gpigeon.shk删除成功手动扫描C:\WINDOWSAti HotKey Polle_Hook.DLL本机
然后,去注册表,把整个system32
生甘草 - 2005-9-26 11:08:00
我先用瑞星杀了一遍,67只
Backdoor.Gpigeon.shk清除成功手动扫描Skype.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描csrss.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描winlogon.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描winlogon.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描services.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描lsass.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描rfwsrv.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描svchost.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描spoolsv.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描svchost.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描regsvc.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描CCENTER.EXE>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Ravmond.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描MSTask.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描MSTask.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RavStub.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描WinMgmt.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描IEXPLORE.EXE>>C:\WINDOWS\Ati HotKey Polle.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描IEXPLORE.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描IEXPLORE.EXE>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描IEXPLORE.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描svchost.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描svchost.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Explorer.EXE>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Explorer.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Rundll32.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Rundll32.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RfwMain.exe>>C:\WINDOWS\Ati HotKey Polle_Hook.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RfwMain.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RAVTIMER.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描RAVMON.EXE>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描starter.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描USBDetector.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描msnmsgr.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk清除成功手动扫描Skype.exe>>C:\WINDOWS\Ati HotKey PolleKey.DLL本机
Backdoor.Gpigeon.shk删除成功手动扫描C:\WINDOWSAti HotKey Polle.DLL本机
Backdoor.Gpigeon.shk删除成功手动扫描C:\WINDOWSAti HotKey Polle_Hook.DLL本机
然后,去注册表,把整个system32项全删了(怕怕)。然后从新启动,去WINGDOWS下边找病毒,未果。又,扫描日志,没发现病毒。也不知如何!
ccd006 - 2005-9-26 13:56:00
请问斑竹,backdoor.gpigeon.tr,这是一个什么病毒,为什么杀不死,每次重起又出来,其指点方法
baohe - 2005-9-26 14:35:00
| 引用: |
【ccd006的贴子】请问斑竹,backdoor.gpigeon.tr,这是一个什么病毒,为什么杀不死,每次重起又出来,其指点方法
........................... |
backdoor.gpigeon.tr——灰鸽子的一个变种。
请用HijackThis1.99.1扫日志贴上来看
yuseen - 2005-9-26 15:01:00
高手帮我看下,我估计应该还没中招吧!
Logfile of HijackThis v1.99.1
Scan saved at 14:53:01, on 2005-9-26
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Tencent\QQ\QQMail.exe
C:\Program Files\Tencent\QQ\QQexternal.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Ringz Studio\Storm Codec\mplayerc.exe
C:\Documents and Settings\zjc\桌面\HijackThis.exe
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINNT\System32\kakatool.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120211419140
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (趋势科技在线扫毒程序) - http://www.trendmicro.com.cn/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://E:\Herosoft\HeroV8\DVDSkin\defskin\HTML\swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5D4A14-AADF-429F-8A6E-F1552459F49D}: NameServer = 202.96.134.133 202.96.128.166
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O20 - AppInit_DLLs: APIHookDll.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Groove Installer Service (GrooveInstallerService) - Groove Networks, Inc. - C:\Program Files\Groove Networks\Groove\Bin\GrooveInstallerService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
独孤豪侠 - 2005-9-26 17:41:00
O23 - Service: Groove Installer Service (GrooveInstallerService) - Groove Networks, Inc. - C:\Program Files\Groove Networks\Groove\Bin\GrooveInstallerService.exe这个应该是鸽子吧.
独孤豪侠 - 2005-9-26 17:44:00
老班,给点意见撒~
影子110 - 2005-9-26 18:57:00
| 引用: |
【yuseen的贴子】高手帮我看下,我估计应该还没中招吧!
·····
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Groove Installer Service (GrooveInstallerService) - Groove Networks, Inc. - C:\Program Files\Groove Networks\Groove\Bin\GrooveInstallerService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
........................... |
GrooveInstallerService.exe
好长的文件名啊~~~~
估计不是什么善类!
你知道这个东西的来路吗?
咋这麻烦呢 - 2005-9-26 20:25:00
有完美卸载V2006这个软件就搞定了,还用这么麻烦?
kying - 2005-9-26 20:25:00
需要您的帮忙,我已经中标,麻烦高手帮我看看哪个是病毒.
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 20:22:43, 日期 2005-9-26
操作系统: Windows XP SP1 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Herosoft\HeroV8\SysExplr.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\Program Files\Common Files\kingsoft\KSG\client.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\HelloNet\HNMainUI.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\P4P\p2psvr.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\RUNDLL32.exe
C:\WINDOWS\system32\RUNDLL32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Tencent\QQ\QQexternal.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\wangwei\LOCALS~1\Temp\Rar$EX00.089\HijackThis1991zww.exe
R3 - URLSearchHook: MyURLSearchHook Class - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\PROGRA~1\P4P\Toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\WINDOWS\Downloaded Program Files\TBHMain.dll
O2 - BHO: CPub Object - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll
如果真的没有杀掉,最后的驱除的方法是不是只有---重新装系统!!!
谢了!
咋这麻烦呢 - 2005-9-26 20:29:00
完美卸载V2006中的系统保护可以完全做到,还用这么麻烦?
baohe - 2005-9-26 21:03:00
| 引用: |
【咋这麻烦呢的贴子】有完美卸载V2006这个软件就搞定了,还用这么麻烦?
........................... |
光说不练——不是真本事。把你堵住灰鸽子的结果拿来看看。或者我给你只鸽子,你用那个V2006把它拒之门外,让我们开开眼,也行。
© 2000 - 2026 Rising Corp. Ltd.