【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版) bbs.ikaka.com

飘过网络 - 2006-1-13 21:08:00

Logfile of HijackThis v1.99.1
Scan saved at 19:23:25, on 2006-1-13
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
d:\Program Files\Rising\Rav\CCenter.exe
d:\Program Files\Rising\Rav\Ravmond.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
d:\Program Files\Rising\Rav\RavStub.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Program Files\Rising\Rav\RavTask.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\conime.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe
d:\Program Files\NetEase\XYOnline2\xy2.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Thunder Network\Thunder\Thunder.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX03.837\ha_hijackthis_1991\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v9.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: Ad Class - {812886BE-AB50-4EAE-92CF-9AD63437E3EF} - C:\WINNT\SeAd\SeAd43a0f09a.dll (file missing)
O2 - BHO: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINNT\DOWNLO~1\BaiDuBar.dll
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINNT\DOWNLO~1\BaiDuBar.dll
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EasyTuneIII] D:\Program Files\GigaByte\EasyTune\EasyTune.exe
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [Thunder] "d:\Program Files\Thunder Network\Thunder\ThunderShell.exe" /s
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O8 - Extra context menu item: 百度-搜索MP3 - res://C:\WINNT\DOWNLO~1\BaiduBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度-搜索图片 - res://C:\WINNT\DOWNLO~1\BaiduBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度-搜索新闻 - res://C:\WINNT\DOWNLO~1\BaiduBar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度-搜索歌词 - res://C:\WINNT\DOWNLO~1\BaiduBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度-搜索网页 - res://C:\WINNT\DOWNLO~1\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度-搜索贴吧 - res://C:\WINNT\DOWNLO~1\BaiduBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - Extra button: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra 'Tools' menuitem: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: c:\winnt\system32\cdnns.dll
O11 - Options group: [CDNCLIENT] 中文上网
O20 - AppInit_DLLs: apihookdll.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gray_Mail_Server (GrayMailServer) - Unknown owner - C:\WINNT\schost.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe

请版主帮忙指出一下哪个是,谢谢

endurer - 2006-1-13 22:03:00

引用:

【maliang的贴子】HijackThis_zww汉化版扫描日志 V1.99.1
保存于 15:47:34, 日期 2005-12-30
操作系统： Windows 2000 SP2 (WinNT 5.00.2195)
浏览器： Internet Explorer v5.00 SP2 (5.00.2920.0000)

...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

卸载：HbTools

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINNT\system32\uahooqwd.exe
C:\Documents and Settings\All Users\Application Data\BASE64LOADDRAW\DASHSECOND.exe

O4 - HKCU\..\Run: [BoreSafe] C:\DOCUME~1\bpzr\APPLIC~1\BLUEBI~1\drvpoke.exe

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

删除文件夹：
C:\Program Files\HbTools
C:\DOCUME~1\bpzr

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll

O2 - BHO: (no name) - {5598E2F4-84B4-04EE-E405-B0F8EDFD5016} - C:\DOCUME~1\bpzr\APPLIC~1\SETTIN~1\flaw one.exe

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.2.1\HbtHostIE.dll

O3 - IE工具栏增项: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.2.1\HbtHostIE.dll

O4 - 启动项HKLM\\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.7.2.1\HbtWeatherOnTray.exe

O4 - 启动项HKLM\\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.2.1\HbtOEAddOn.exe

O4 - 启动项HKLM\\Run: [aealjvfe] C:\WINNT\system32\uahooqwd.exe

O4 - 启动项HKLM\\Run: [load draw bind web] C:\Documents and Settings\All Users\Application Data\BASE64LOADDRAW\DASHSECOND.exe

O4 - HKCU\..\Run: [BoreSafe] C:\DOCUME~1\bpzr\APPLIC~1\BLUEBI~1\drvpoke.exe

O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab

清空IE临时文件夹

进行系统更新／打系统补丁．为Win 2000打上SP4，把IE升级到6.0并打上SP1。

endurer - 2006-1-13 22:14:00

引用:

【chengling的贴子】我用木马客星查出几个可以文件
我不知道是哪一个有病毒
楼主看一下呢
请教我如何清除掉谢谢
谢谢谢谢
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\AcsignIcon.dll
C:\WINDOWS\system32\RavExt.dll
C:\WINDOWS\system32\xunleibho_vt.dll
C:\WINDOWS\system32\cdnns.dll
C:\WINDOWS\system32\msdmo.dll
...........................

C:\WINDOWS\SOUNDMAN.EXE 是 realtek声卡相关程序。

C:\WINDOWS\system32\AcsignIcon.dll 可能是AutoCAD的文件，请检查这个文件的属性加以确认。

C:\WINDOWS\system32\RavExt.dll 可能是瑞星的文件，请检查这个文件的属性加以确认。

C:\WINDOWS\system32\xunleibho_vt.dll 从文件名上看可能是迅雷的文件，不过我没找到相关的信息，请把这个文件作为电子邮件附件发到endurer@163.com

C:\WINDOWS\system32\cdnns.dll 可能是CNNIC中文网址之类的文件

C:\WINDOWS\system32\msdmo.dll 是Windows系统文件，详情可参考：http://www.cn.filename.info/f/msdmo.dll.html

endurer - 2006-1-13 22:21:00

引用:

【[开始]的贴子】

启动的时候瑞星杀毒提示说有Backdoor.GPigeon病毒，我在WINdows目录找到了下面三个文件：
comie.exe
comie.dll
comie_hook.dll
（这三个文件我都改名了，只是没删除，等待确认后再删除）

但在注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中没有病毒服务名，只有一个名称为“AB默认”的“数值未设置”的键名；我继续找了HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中有个Servers目录下有一项名称叫ImagePath，数值是C：/windows/comie.exe的项目，是不是把这个删除？我该怎么做？麻烦看看其它的有没有问题？谢谢了！！

...........................

你做得很好。

请把

comie.exe
comie.dll
comie_hook.dll

这三个灰鸽子文件作为电子邮件发给我，然后删除。

你中的灰鸽子的系统服务名为：Servers，所以

请把HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中的Servers目录删除。

另外，建议：

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: IDDTInitObj Class - {15DDE989-CD45-4561-BF99-D22C0D5C2B74} - D:\PROGRA~1\sina\UC\UCddt\ddtinit.dll (file missing)

O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD}? - (no file)

O3 - IE工具栏增项: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)

O3 - IE工具栏增项: 新浪点点通 - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - D:\PROGRA~1\sina\UC\UCddt\DDTONG~1.DLL (file missing)

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

清空IE临时文件夹

endurer - 2006-1-13 22:29:00

【回复“飘过网络”的帖子】

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：O23 - Service: Gray_Mail_Server (GrayMailServer)

卸载：百度搜霸

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINNT\schost.exe
C:\WINNT\schost.dll
C:\WINNT\schost_dll.dll
C:\WINNT\schost_key.dll
C:\WINNT\schost_hook.dll

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: Ad Class - {812886BE-AB50-4EAE-92CF-9AD63437E3EF} - C:\WINNT\SeAd\SeAd43a0f09a.dll (file missing)
O2 - BHO: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINNT\DOWNLO~1\BaiDuBar.dll
O3 - Toolbar: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINNT\DOWNLO~1\BaiDuBar.dll

O23 - Service: Gray_Mail_Server (GrayMailServer) - Unknown owner - C:\WINNT\schost.exe

清空IE临时文件夹

虾米宝贝 - 2006-1-14 2:52:00

苦恼中啊！女朋友都要造反啦。运行速度慢极了！学习了好几天了，还是每次重启杀毒后有“Backdoor.Gpigeon.dq”和“Backdoor.Gpigeon.uql”
存在。
现在正在下载WINSP2补丁。
可怜啊，偶还在养病呢。

虾米宝贝 - 2006-1-14 2:55:00

病毒名称处理结果发现日期扫描方式路径文件病毒来源
Backdoor.Gpigeon.dq 删除成功 2006-01-11 16:51 屏保扫描 C:\WINDOWS G_Server.DLL 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 17:18 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 17:31 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 17:40 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 17:48 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 19:47 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 19:56 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 21:09 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-14 00:35 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机

虾米宝贝 - 2006-1-14 3:02:00

这是禁用“灰鸽子”服务端程序前的病历。
病毒名称处理结果发现日期扫描方式路径文件病毒来源
Backdoor.Gpigeon.uql 清除成功 2006-01-08 12:44 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-08 14:45 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-08 18:25 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-08 22:47 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-09 00:14 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-09 00:16 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-09 08:05 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.sgr 删除成功 2006-01-09 08:26 快捷扫描 E:\短片下载 ADSL速度上限破解器.zip>>ADSL速度上限破解器.exe 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-09 10:51 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-09 10:54 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-09 11:04 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-09 13:38 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-10 15:08 屏保扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.sfx 删除成功 2006-01-11 12:00 快捷扫描 E:\短片下载网络电视破解版可以接收国内外超清晰超流畅.exe>>Setup.exe.bak 本机
Backdoor.PcClient.gw 删除成功 2006-01-11 12:54 手动扫描 C:\WINDOWS\system32\drivers cgagmikt.sys 本机
Backdoor.Gpigeon.sfx 删除成功 2006-01-11 13:18 手动扫描 E:\短片下载网络电视破解版可以接收国内外超清晰超流畅.exe>>Setup.exe.bak 本机
Backdoor.Gpigeon.sfx 删除成功 2006-01-11 13:18 手动扫描 E:\短片下载 Setup.exe.bak 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-11 13:32 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.dq 删除成功 2006-01-11 13:36 手动扫描 C:\WINDOWS G_Server.DLL 本机
Backdoor.Gpigeon.sfx 删除成功 2006-01-11 13:44 手动扫描 E:\System Volume Information\_restore{5BAB2065-9AC3-46D7-9C67-3E41C8D9B949}\RP19 A0054885.exe>>Setup.exe.bak 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-11 14:29 屏保扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.dq 删除成功 2006-01-11 16:51 屏保扫描 C:\WINDOWS G_Server.DLL 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-11 23:07 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.sfx 删除成功 2006-01-11 23:25 快捷扫描 E:\短片下载网络电视破解版可以接收国内外超清晰超流畅.exe>>Setup.exe.bak 本机
Backdoor.Gpigeon.sfx 删除成功 2006-01-11 23:47 手动扫描 E:\短片下载网络电视破解版可以接收国内外超清晰超流畅.exe>>Setup.exe.bak 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:40 手动扫描 csrss.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:40 手动扫描 winlogon.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:40 手动扫描 services.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 lsass.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 rfwsrv.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 Explorer.EXE>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 spoolsv.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:41 手动扫描 rfwmain.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:42 手动扫描 realsched.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:42 手动扫描 ctfmon.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:42 手动扫描 conime.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon 清除成功 2006-01-12 01:42 手动扫描 IEXPLORE.EXE>>C:\WINDOWS\G_Server.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:42 手动扫描 IEXPLORE.EXE>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:42 手动扫描 iexplore.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 01:42 手动扫描 alg.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 01:42 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.dq 删除成功 2006-01-12 02:31 快捷扫描 C:\WINDOWS G_Server.DLL 本机
Backdoor.Gpigeon 清除成功 2006-01-12 02:49 手动扫描 IEXPLORE.EXE>>C:\WINDOWS\G_Server.DLL 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 02:49 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:35 手动扫描 csrss.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:35 手动扫描 winlogon.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:35 手动扫描 services.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 lsass.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 svchost.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 rfwsrv.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 Explorer.EXE>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 spoolsv.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 RfwMain.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:36 手动扫描 realsched.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:37 手动扫描 ctfmon.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon 清除成功 2006-01-12 03:37 手动扫描 IEXPLORE.EXE>>C:\WINDOWS\G_Server.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:37 手动扫描 IEXPLORE.EXE>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.dq 清除成功 2006-01-12 03:37 手动扫描 iexplore.exe>>C:\WINDOWS\G_Server_Hook.DLL 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 03:37 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.dq 删除成功 2006-01-12 04:04 手动扫描 C:\WINDOWS G_Server.DLL 本机
Backdoor.Gpigeon.tki 重新启动计算机后删除文件 2006-01-12 04:04 手动扫描 C:\WINDOWS G_Server_Hook.DLL 本机
Backdoor.Gpigeon.tki 重新启动计算机后删除文件 2006-01-12 04:28 屏保扫描 C:\WINDOWS G_Server_Hook.DLL 本机
Backdoor.Gpigeon.tki 重新启动计算机后删除文件 2006-01-12 04:45 屏保扫描 C:\WINDOWS G_Server_Hook.DLL 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 07:35 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 12:13 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 12:59 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 13:57 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 14:11 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 15:31 屏保扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 21:40 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-12 21:43 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 11:11 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机

虾米宝贝 - 2006-1-14 3:25:00

太困了，这是最新的资料。明天继续研究吧，一定不放弃。
病毒名称处理结果发现日期扫描方式路径文件病毒来源
Backdoor.Gpigeon.dq 删除成功 2006-01-11 16:51 屏保扫描 C:\WINDOWS G_Server.DLL 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 17:18 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 17:31 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 17:40 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 17:48 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 19:47 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 19:56 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-13 21:09 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-14 00:35 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机
Backdoor.Gpigeon.uql 清除成功 2006-01-14 03:20 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE 本机

当那个当 - 2006-1-14 9:27:00

楼主及各位大侠好！

最近杀毒时发现中了灰鸽子（Backdoor.GPigeon.smd），瑞星杀毒提示清除成功，但是每次重新启动后都还是有这个病毒。在安全模式下杀毒未提示有病毒，正常启动后杀毒提示有病毒。我的是正版瑞星，且每天升级。

用Hijackthis扫描，报告如下：

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 09:08:48, 日期 2006-01-14
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\RegSrvc.exe
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Maxthon\Maxthon.exe
D:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Rising\Rav\RsLogVw.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\DOCUME~1\TY\LOCALS~1\Temp\Rar$EX27.9205\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport\NTIEHelper.dll
O3 - IE工具栏增项: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - 启动项HKLM\\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - 启动项HKLM\\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - 启动项HKLM\\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
O4 - 启动项HKLM\\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?SystemRoot%\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe
O8 - IE右键菜单中的新增项目: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - IE右键菜单中的新增项目: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - IE右键菜单中的新增项目: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\NetTransport\NTAddLink.html
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\NetTransport\NTAddList.html
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\SendMMS.htm
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {48FE89A0-486C-48DF-9DEC-BED22BDC6057} (XIsOro Control) - http://duiyi.sina.com.cn/download/OroCheck.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&debug=true&pid=c_95&url=http://client.jogo.cn/download/cnnic/cdn.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\wavtoringtone\MidRadio.ocx
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: geonerver - Unknown owner - C:\WINDOWS\serdex.exe
O23 - NT 服务: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\hpbpro.exe
O23 - NT 服务: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\hpboid.exe
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - NT 服务: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

用冰刃扫描，报告如下：

进程：

System Idle Process
System
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Rising\rfw\rfwmain.exe
D:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\Program Files\Rising\Rav\RavMonD.exe
C:\Program Files\Rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\DOCUME~1\TY\LOCALS~1\Temp\Rar$EX27.9205\HijackThis1991zww.exe
F:\system tmp files\IceSword.exe
C:\Program Files\Rising\Rav\RsLogVw.exe
C:\WINDOWS\system32\rundll32.exe
D:\PROGRA~1\WinZip\WINZIP32.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe

请问，如何彻底查杀病毒？另外，楼主曾提到清空临时文件夹，不知是否是指C:\windows\Temp？我在我的电脑->属性->高级->环境变量里把Temp和TMP文件夹改到F盘里，所以不知所指是哪个临时文件夹？但是不管哪个文件夹，均提示无法彻底清空，有文件正在使用。如何处理？谢谢！

悟不空1999 - 2006-1-14 12:32:00

ME，TOO
大哥帮忙看一下：
O23 - NT 服务: Bluetooth Service (btwdins) - Unknown owner - D:\新建文件夹 (4)\bin\btwdins.exe (file missing)
O23 - NT 服务: KVSrvXP - JiangMin New Tech Ltd. - C:\PROGRA~1\KV2005\KVSrvXP.exe
O23 - NT 服务: Windows NetWork Services (Windows NewWork Services) - Unknown owner - C:\WINDOWS\msnmsg.exe
O23 - NT 服务: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)

我是呵呵后 - 2006-1-14 18:52:00

现在病毒越来越厉害

我下了个36K大小的东西，双点它它就不见了不知道是不是病毒，
现在经常看看防火强经常报告有程序要访问特定的IP地址

用瑞星和木马客星没有查出来

chirdren - 2006-1-15 18:36:00

士大夫士大夫士大夫上士大夫士大夫士大夫上

Spiderf - 2006-1-16 1:57:00

flash7.ocx是鸽子的木马吗？

寂寞の洋娃娃 - 2006-1-16 7:12:00

恩
要好好学习

ANAWY - 2006-1-16 10:32:00

请帮忙找出鸽子好吗？怎么杀呀？

ijackThis_zww汉化版扫描日志 V1.99.1
保存于 20:21:02, 日期 2006-1-15
操作系统： Windows XP SP1 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\淘宝网\淘宝旺旺\WangWang.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\Program Files\rising\Rav\RavTask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Kingsoft\XdictEJC\xdict.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rav\RavMon.exe
C:\Program Files\rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\rising\rfw\rfwmain.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\hijackthis\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [rfw] C:\Program Files\rising\Rfw\Rfw.exe
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - 启动项HKLM\\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [WangWang] "C:\Program Files\淘宝网\淘宝旺旺\WangWang.EXE"
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RfwMain] "c:\program files\rising\rfw\rfwmain.exe" -startup
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: 金山词霸中日英版.lnk = C:\Program Files\Kingsoft\XdictEJC\xdict.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - 浏览器额外的按钮: 卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\WINDOWS\System32\IEPlugin.dll
O9 - 浏览器额外的按钮: ZDNet - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\WINDOWS\System32\IEPlugin.dll
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [!CNS] 网络实名
O11 - Options group: [CDNCLIENT] 中文上网
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} (CNNIC_IDN) - http://client.jogo.cn/download/cnnic/cdn.cab
O16 - DPF: {ACFE8232-03C5-4AEC-AF5E-42B806724096} (KSHScan Control) - http://scan.kingsoft.com/scan/fangyi/KAllScan.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{E15013BE-99AB-411B-B2F8-2A5141C68E3D}: NameServer = 202.96.69.38 202.96.64.68
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\Ravmond.exe
O23 - NT 服务: Wireless Configuration - Unknown owner - C:\WINDOWS\system32\ScvHost.exe

endurer - 2006-1-16 13:31:00

【回复“虾米宝贝”的帖子】

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用灰鸽子的系统服务

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\G_Server.exe
C:\WINDOWS\G_Server.DLL
C:\WINDOWS\G_Server_Hook.DLL

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

清空IE临时文件夹

如果问题还不能解决，请使用HijackThis扫描log发上来，方便大家讨论解决。

endurer - 2006-1-16 13:37:00

【回复“当那个当”的帖子】

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：geonerver

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\serdex.exe
C:\WINDOWS\serdex.DLL
C:\WINDOWS\serdex_Hook.DLL
C:\WINDOWS\serdex_key.DLL

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

F2 - REG:system.ini: UserInit=userinit.exe,

O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&debug=true&pid=c_95&url=http://client.jogo.cn/download/cnnic/cdn.cab

O23 - NT 服务: geonerver - Unknown owner - C:\WINDOWS\serdex.exe

清空IE临时文件夹

endurer - 2006-1-16 13:42:00

引用:

【悟不空1999的贴子】ME，TOO
大哥帮忙看一下：
O23 - NT 服务: Bluetooth Service (btwdins) - Unknown owner - D:\新建文件夹 (4)\bin\btwdins.exe (file missing)
O23 - NT 服务: KVSrvXP - JiangMin New Tech Ltd. - C:\PROGRA~1\KV2005\KVSrvXP.exe
O23 - NT 服务: Windows NetWork Services (Windows NewWork Services) - Unknown owner - C:\WINDOWS\msnmsg.exe
O23 - NT 服务: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)

...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：Windows NetWork Services (Windows NewWork Services)

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\msnmsg.exe
C:\WINDOWS\msnmsg.DLL
C:\WINDOWS\msnmsg_Hook.DLL
C:\WINDOWS\msnmsg_key.DLL

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

清空IE临时文件夹

如果问题还不能解决，请使用HijackThis扫描log完整地发上来，方便大家分析讨论。

endurer - 2006-1-16 13:43:00

引用:

【我是呵呵后的贴子】现在病毒越来越厉害

我下了个36K大小的东西，双点它它就不见了不知道是不是病毒，
现在经常看看防火强经常报告有程序要访问特定的IP地址

用瑞星和木马客星没有查出来
...........................

请把防火墙的日志导出贴上来，方便大家分析。

endurer - 2006-1-16 13:46:00

引用:

【Spiderf的贴子】flash7.ocx是鸽子的木马吗？
...........................

不知这个文件是在哪个文件夹中？

它可能是播放flash的插件，你可以检查该文件的属性加以确认。

endurer - 2006-1-16 13:50:00

【回复“ANAWY”的帖子】

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：Wireless Configuration

卸载：淘宝旺旺

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\system32\ScvHost.exe
C:\WINDOWS\system32\ScvHost.DLL
C:\WINDOWS\system32\ScvHost_Hook.DLL
C:\WINDOWS\system32\ScvHost_key.DLL

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

F2 - REG:system.ini: UserInit=userinit.exe,

O4 - 启动项HKLM\\Run: [WangWang] "C:\Program Files\淘宝网\淘宝旺旺\WangWang.EXE"

O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab

O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} (CNNIC_IDN) - http://client.jogo.cn/download/cnnic/cdn.cab

O23 - NT 服务: Wireless Configuration - Unknown owner - C:\WINDOWS\system32\ScvHost.exe

清空IE临时文件夹

我不是黑人 - 2006-1-16 20:44:00

help,我的机子也中了灰鸽子backdoor.gpigeno.thj,还有我用hijackthis想将系统的进程导出来时,系统出错说内存不能read,然后就把它关了,SOS.........

我不是黑人 - 2006-1-16 20:57:00

下面是我的日志,请班竹帮忙分析一下
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 20:51:30, 日期 2006-1-16
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
E:\工具大全\杀毒工具\瑞星2005\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
E:\工具大全\杀毒工具\瑞星2005\Rising\Rav\Ravmond.exe
e:\工具大全\杀毒工具\瑞星2005\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\工具大全\杀毒工具\瑞星2005\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
e:\工具大全\杀毒工具\瑞星2005\rising\rfw\RfwMain.exe
C:\WINDOWS\System32\UAService7.exe
E:\工具大全\杀毒工具\瑞星2005\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
E:\工具大全\杀毒工具\瑞星2005\Rising\Rav\Ravmon.exe
E:\工具大全\杀毒工具\杀毒软件包\HijackThis1991zww汉化版\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\工具大全\阅读工具\Adobe Reader 7.05\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - E:\工具大全\计算机~1\MAGICS~1.25\HAOKAN~1.DLL
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - IE工具栏增项: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - E:\工具大全\计算机~1\MAGICS~1.25\HAOKAN~1.DLL
O4 - 启动项HKLM\\Run: [CdnCtr] ; C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [RfwMain] "E:\工具大全\杀毒工具\瑞星2005\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [Super Rabbit SafeEdit] ; E:\工具大全\计算机优化工具\MagicSet v7.25\SRFC.EXE /Load
O4 - 启动项HKLM\\Run: [RavTask] "E:\工具大全\杀毒工具\瑞星2005\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\工具大全\网络工具\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - E:\工具大全\网络工具\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\娱乐\QQ\qq2005\ipqq2005\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - E:\工具大全\网络工具\KuGoo3\KuGoo3DownX.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\娱乐\QQ\qq2005\ipqq2005\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\娱乐\QQ\qq2005\ipqq2005\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\娱乐\QQ\qq2005\ipqq2005\SendMMS.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - E:\工具大全\网络工具\比特精灵\bsurl.htm
O8 - IE右键菜单中的新增项目: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=201557_1006 (file missing)
O9 - 浏览器额外的“工具”菜单项: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=201557_1006 (file missing)
O9 - 浏览器额外的按钮: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的“工具”菜单项: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=?allyesPara=816 (file missing)
O9 - 浏览器额外的“工具”菜单项: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=?allyesPara=816 (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/?source=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/?source=Cns (file missing)
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的“工具”菜单项: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\娱乐\QQ\qq2004\qq2004\QQ.EXE (file missing)
O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\娱乐\QQ\qq2004\qq2004\QQ.EXE (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的“工具”菜单项: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT] 中文上网
O16 - DPF: {2761225D-F0F2-44E8-A2C9-476FB6A3316A} - http://dl_dir.qq.com/qqtools/trsetup.exe
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O23 - NT 服务: Remote Procedure Call Server - Unknown owner - C:\WINDOWS\pashost.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\工具大全\杀毒工具\瑞星2005\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\工具大全\杀毒工具\瑞星2005\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\工具大全\杀毒工具\瑞星2005\Rising\Rav\Ravmond.exe
O23 - NT 服务: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

瑞星卡卡安全论坛