【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版) bbs.ikaka.com

endurer - 2005-11-17 20:36:00

--------------------------------------------------------------------------------

2005-11-16 21:9:40　瑞星杀毒助手
Windows XP (5.1.2600 Service Pack 1)
文件名病毒名
csrss.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
winlogon.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
services.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
lsass.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
spoolsv.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
alg.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
IEXPLORE.EXE>>C:\WINDOWS\system.DLL Backdoor.GPigeon
IEXPLORE.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
CCENTER.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot
Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
igfxtray.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
hkcmd.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
SOUNDMAN.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
realsched.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
RAVTIMER.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
ctfmon.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
SwitchNet.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
GreenBrowser.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
WinRAR.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
notepad.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
Rav.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
C:\WINDOWS\system32\d11host.exe Trojan.DL.98link
C:\WINDOWS\system32\GLIEDown.dll.bak Backdoor.Agent.aen
C:\WINDOWS\system.DLL Backdoor.GPigeon
C:\WINDOWS\system_HOOk.DLL Backdoor.GPigeon.xb

--------------------------------------------------------------------------------

这位朋友听别人说瑞星实时监控占用系统资源多，所以安装瑞星时没有安装实时监控模块。再检查瑞星的详细设置里的“定制任务”里的“开机扫描”项，“系统启动时扫描引导区”和“系统启动时扫描系统内存”都没有选定。朋友说是觉得瑞星启动速度慢，所以没有使用这一项。(暴汗!)

在使用windows 2000/XP的电脑中，灰鸽子一般会有一个系统服务启动项。

使用HijackThis扫描（您可以到http://endurer.ys168.com的tools\系统分析和修复里下载HijackThis ），发现了一个可疑的系统服务项（瑞星居然没报？）：

--------------------------------------------------------------------------------

O23 - Service: Cryptographic Servicesini - Unknown owner - C:\WINDOWS\system.exe

--------------------------------------------------------------------------------

＊2005.11.19　第2版补充：瑞星关于可疑服务Cryptographic Servicesini的文件C:\WINDOS\SYSTEM.EXE的回复：

发件人： send@rising.net.cn 发送时间：2005-11-19 11:49:35

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：system.exe
:)病毒名：Backdoor.Gpigeon.tkf

我们将在较新的17.54.0版本中处理解决，请您届时将您的瑞星软件升级到17.54.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。

把这项服务停止并禁用（在本例中，这一步不是必须的，但推荐做这一步）。具体操作可参考：【系统修复系列之】如何停止系统服务http://endurer.bokee.com/2578501.html(http://endurer.bokee.com/2578501.html)

开始找病毒样本。先设置系统显示所有文件和文件夹，不隐藏已知文件的扩展名。具体操作可参考：【系统修复系列之】如何显示所有的文件和文件夹http://endurer.bokee.com/2590659.html(http://endurer.bokee.com/2590659.html)

附件: 16036520051117203605.jpg

endurer - 2005-11-17 20:38:00

把病毒样本打包备份

不过

--------------------------------------------------------------------------------

Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot

--------------------------------------------------------------------------------

中报的病毒文件就是Windows的壳----C:\WINDOWS\Explorer.EXE，怎么会是病毒，奇怪。

瑞星病毒档案中Worm.Mail.Fanbot的信息：
http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=112927

病毒分类 WINDOWS下的PE病毒病毒名称 Worm.Mail.Fanbot 　
别名　病毒长度
依赖系统传播途径　
行为类型 WINDOWS下的木马程序感染　
病毒发作瑞星版本号　 17.49

手工删除病毒。除了C:\WINDOWS\system_HOOk.DLL以外，都可以直接删除。

要删除C:\WINDOWS\system_HOOk.DLL，我们可以尝试KillBox等工具，不过我用的是“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。（它们都可以到http://endurer.ys168.com 下载）。

清空IE临时文件夹。具体操作可参考：【系统修复系列之】如何清空IE临时文件夹http://endurer.bokee.com/2722966.html(http://endurer.bokee.com/2722966.html)

关闭系统还原功能。具体操作可参考：【系统修复系列之】如何禁用或启用 Windows XP 系统还原http://endurer.bokee.com/2575822.html(http://endurer.bokee.com/2575822.html)

重新启动计算机，再用瑞星扫描系统，没有再发现病毒。

endurer - 2005-11-17 20:43:00

BTW：瑞星今天发布了“灰鸽子”病毒专杀工具,大家不妨试试.

http://it.rising.com.cn/service/technology/Ravgpk_Download.htm

当前位置：瑞星专用杀毒工具下载 >> “灰鸽子”病毒专杀工具

“灰鸽子”病毒专杀工具

工具名称：ravgpk.exe
版本号：1.0
软件大小：600 KB

应用平台：Windows平台
发布时间：2005-11-17
发布公司：北京瑞星科技股份有限公司

软件说明

　　2005年11月17日正式发布 “灰鸽子”病毒专用提取清除工具1.0版。
　　针对灰鸽子系列病毒进行提取和清除的工具，能够帮助用户查找灰鸽子病毒的文件，并进行清除。同时能够提取目前无法清除的灰鸽子病毒样本文件，用户可以把不能清除的样本发送给我们进行处理。
　　重点提示：病毒清除过程完成后若出现提示“您的计算机系统中已经感染了“灰鸽子”病毒，为了安全、彻底地清除此病毒，建议您重新启动计算机后再用此专杀工具查杀一次！”，请您根据此提示稍后重新启动计算机再次查杀病毒，并请点击提示框中的“确定”按钮。

病毒简介

后门病毒“灰鸽子”
　　delphi编写
　　主要特点： 1、可以穿越防火墙远程控制用户机器。2、使用madCodeHook开发包接管若干API,隐藏病毒文件，给用户杀毒造成障碍。

影子110 - 2005-11-18 14:07:00

谢谢~~
学习~~~

影子110 - 2005-11-18 14:14:00

Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot
Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs”
这两个都是Explorer.EXE，为什么所指向的却是不同的文件（你上面提到的壳~~壳是什么意思啊~~

，，呵呵~）
还有~这两个Explorer.EXE是同一个文件吗？

endurer - 2005-11-18 14:53:00

引用:

【影子110的贴子】
Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot
Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
这两个都是Explorer.EXE，为什么所指向的却是不同的文件

Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot

这个有点怪，不过由于病毒在内存中，已经被瑞星清除了。是否是因为Explorer.EXE进程被system_HOOk.DLL注入而引起这种情况，还需要大家进一步观察。
用google搜索了一下，从搜索到的信息来看，这个病毒好像是与灰鸽子结伴同行的。

-------------------------------------------------------------
病毒分类 WINDOWS下的PE病毒病毒名称 Worm.Mail.Fanbot 　
别名　病毒长度
依赖系统传播途径　
行为类型 WINDOWS下的木马程序感染　
病毒发作瑞星版本号　 17.49
-------------------------------------------------------------

Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs

这个explorer进程被system_HOOk.DLL注入了。
system_HOOk.DLL会注入系统中的所有进程。

引用:

【影子110的贴子】
你上面提到的壳~~壳是什么意思啊~~

我这里说的壳是指操作系统用来提供给用户进行操作的东东。在ms dos里是command.com（解释用户输入的命令），在windows里则是explorer.exe（提供桌面，任务栏等），在unix里则有ash,bash,ksh,tcsh,zsh等。

引用:

【影子110的贴子】
还有~这两个Explorer.EXE是同一个文件吗？

应该是同一个。在HijackThis的log中，只有一个名为Explorer.EXE的进程，即C:\WINDOWS\Explorer.EXE进程。

影子110 - 2005-11-18 15:39:00

谢谢~~
那这个C:\WINDOWS\Explorer.EXE可以安全删除吗？（是杀毒，还是删除）
如果，因为瑞星的版本不够（无法升级时），只能在线查，查出这个毒时，结束这个进程是否就可以了，，（~~把这个鸽子手工删除后（就是删除它的服务项，删除它的文件，再结束这个进程是否可以~~）
好像有时瑞星杀毒时常会显示已经把一些文件给隔离起来了，这些被隔离的病毒文件还需要再删除吗？
另，Worm.Mail.Fanbot（看这个病毒名，应该是属于蠕虫的一种吧~）
呵呵~~又提了那么多问题~~~
先谢谢了~~~（老版主可不要嫌烦啊~~）

jijip - 2005-11-18 16:59:00

顶,学习了,好教材

ヘ网络农民ヘ - 2005-11-18 17:06:00

好东西。..

收了。. .

酷舞 - 2005-11-18 17:52:00

谁帮我一下啊我的电脑中了灰鸽子这是扫描的日子接着该怎么做啊
Logfile of HijackThis v1.99.1
Scan saved at 17:35:55, on 2005-11-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
d:\瑞星\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
d:\瑞星\rising\rfw\RfwMain.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\QQ\QQ.exe
D:\QQ\TIMPlatform.exe
D:\QQ\QQ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
E:\新建文件夹\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\kugoo\KuGoo3DownXControl.ocx
O2 - BHO: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - D:\MagicSet\HaokanBar.dll
O3 - Toolbar: (no name) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C}? - (no file)
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {FEDF637B-F631-4583-A210-33CC828D42DB}? - (no file)
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [autozc] C:\Documents and Settings\yangxu\桌面\注册.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [KuGoo3] ; "D:\kugoo\KuGoo.exe"
O4 - Startup: gubbi.lnk = ?
O8 - Extra context menu item: &使用迅雷下载 - D:\迅雷(Thunder)\geturl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用KuGoo3下载(&K) - D:\kugoo\KuGoo3DownX.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C7D3869-D064-4467-8F57-1FB03E60C524}: NameServer = 210.32.80.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C7D3869-D064-4467-8F57-1FB03E60C524}: NameServer = 210.32.80.6
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C7D3869-D064-4467-8F57-1FB03E60C524}: NameServer = 210.32.80.6
O23 - Service: KVSrvXp_1 - Unknown owner - (no file)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NetWorkServers - Unknown owner - C:\WINDOWS\Servers.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\瑞星\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

子阳 - 2005-11-18 18:57:00

学习了.

Michaelmao - 2005-11-18 20:33:00

我也中了,但是查了下没有system_HOOk.DLL
system.DLL和system.exe有的
但是system.DLL却删不掉~~~
楼主请问下该怎么办啊??

feiyue1025 - 2005-11-18 21:02:00

飞这么多鸽子啊

异端完美 - 2005-11-18 22:13:00

我也中毒了，谁帮我看看呀！

Logfile of HijackThis v1.99.1
Scan saved at 21:55:49, on 2005-11-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\alg.exe
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\dd\桌面\155847200541134207\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用Kugoo下载 - D:\Program Files\KuGoo2\KugooDownX.htm
O8 - Extra context menu item: 使用迅雷下载 - D:\Program Files\Thunder-v5.0\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - D:\Program Files\Thunder-v5.0\getAllurl.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - Extra button: (no name) - {35980F6E-A137-4E50-953D-813BB8556899} - (no file)
O9 - Extra button: (no name) - {35980F6E-A137-4E50-953D-813BB8556899}? - (no file)
O9 - Extra button: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - Extra 'Tools' menuitem: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE
O16 - DPF: {0400AC1C-EEF0-4638-A501-31D5A0DC2002} (VTPlug3 Class) - http://61.129.90.99:1995/VTrans.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} (BlueskyVideo Control) - http://www.bluesky.cn/download/v2_60.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://origin-www.ahn.com.cn/aspservice/plugin/myv3.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://61.129.90.99:1995/talk.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {8052AF20-EEE1-4A41-A050-8BDA57EC70D2} (Record9158 Control) - http://mim.99lover.com/VideoChat/Rec9158.CAB
O16 - DPF: {991481A7-4669-4E15-8C24-100404E1F5CB} (Blueskyvoice Control) - http://www.bluesky.cn/download/blueskyvoice_60.cab
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://210.51.5.80/fun/system/fc2boot.cab
O16 - DPF: {AC3A36A8-9BFF-410A-A33D-2279FFEB69D2} (QQPlayer Control) - http://imgcache.qq.com/music/QQMusicSetup.exe
O16 - DPF: {B2900CC6-9736-4AF5-8B98-FFFCBBDD46D8} (IceQQUp.UserControl1) - http://110dj.com/sz/RealPlayer.ocx
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://pcaststatic.mop.com/dn/files/pCastCtl_1.0.0.71_20050929.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E9A1149-AD31-4067-B9FC-D67E164F3D2B}: NameServer = 202.98.192.68 202.98.198.168
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E9A1149-AD31-4067-B9FC-D67E164F3D2B}: NameServer = 202.98.192.68 202.98.198.168
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E9A1149-AD31-4067-B9FC-D67E164F3D2B}: NameServer = 202.98.192.68 202.98.198.168
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: cress (kress) - Unknown owner - C:\WINDOWS\syste.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

影子110 - 2005-11-19 9:13:00

引用:

【异端完美的贴子】我也中毒了，谁帮我看看呀！

...........................

O23 - Service: cress (kress) - Unknown owner - C:\WINDOWS\syste.exe (file missing)
鸽子~

丝丝乖乖 - 2005-11-19 13:01:00

我...我...中灰鸽子了...昨天杀了...今天早上开机...又杀出鸽子来...好像杀不干净一样...上网查了来到这个社区了...你们扫描的文件怎么来的呀?HijackThis v1.99.1..这个软件哪里有下载?我也想扫出来给影子110看看...

影子110 - 2005-11-19 16:22:00

引用:

【丝丝乖乖的贴子】我...我...中灰鸽子了...昨天杀了...今天早上开机...又杀出鸽子来...好像杀不干净一样...上网查了来到这个社区了...你们扫描的文件怎么来的呀?HijackThis v1.99.1..这个软件哪里有下载?我也想扫出来给影子110看看...
...........................

HijackThis V1.99.1汉化版下载及英文原版下载地址（二楼）
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

ytswy88 - 2005-11-19 16:31:00

下面是我的日志,哪个是鸽子?看不懂哟,请帮忙看一下.谢谢!
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: Spplication Layer Gateway Serv - Unknown owner - C:\WINNT\bdc.exe

ytswy88 - 2005-11-19 17:23:00

真的谢谢.太谢谢了,我的问题解决了.要是有条件,我一定要请baohe,影子110你们两位喝酒庆祝.手动方法很有效.

丝丝乖乖 - 2005-11-19 18:03:00

手动怎么杀呀?我看了几个贴...看得好迷茫...

影子110 - 2005-11-19 18:27:00

引用:

【影子110的贴子】
HijackThis V1.99.1汉化版下载及英文原版下载地址（二楼）
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
...........................

引用:

【丝丝乖乖的贴子】手动怎么杀呀?我看了几个贴...看得好迷茫...
...........................

把日志帖上来，，

endurer - 2005-11-19 18:46:00

引用:

【影子110的贴子】谢谢~~
那这个C:\WINDOWS\Explorer.EXE可以安全删除吗？（是杀毒，还是删除）

建议杀毒.
删除它就不方便我们操作windows了罢?

引用:

【影子110的贴子】谢谢~~
如果，因为瑞星的版本不够（无法升级时），只能在线查，查出这个毒时，结束这个进程是否就可以了，，（~~把这个鸽子手工删除后（就是删除它的服务项，删除它的文件，再结束这个进程是否可以~~）

即使是瑞星在线免费查毒,也会把内存中的病毒清除掉的。

如果病毒进程还在的话，我们就不能删除病毒文件。

我个人推荐的操作顺序是：重启到安全模式下，停止并禁用服务，终止进程，删除文件，禁用系统还原功能，清空IE临时文件夹，重新启动电脑，启用系统还原功能。

引用:

【影子110的贴子】谢谢~~
好像有时瑞星杀毒时常会显示已经把一些文件给隔离起来了，这些被隔离的病毒文件还需要再删除吗？

一般情况下不需要删除。如果病毒文件在隔离区里还起作用，那就得删除了。

或者病毒文件被隔离后，系统工作正常，而你也没有研究病毒的习惯，或者磁盘空间紧张，那么可以考虑删除它们。

引用:

【影子110的贴子】
另，Worm.Mail.Fanbot（看这个病毒名，应该是属于蠕虫的一种吧~）

从病毒名上看，确实是个蠕虫，很可能是通过email传播的。

引用:

【影子110的贴子】
呵呵~~又提了那么多问题~~~
先谢谢了~~~（老版主可不要嫌烦啊~~）

欢迎提出问题来让大家一起讨论，共同进步。

endurer - 2005-11-19 18:49:00

引用:

【Michaelmao的贴子】我也中了,但是查了下没有system_HOOk.DLL
system.DLL和system.exe有的
但是system.DLL却删不掉~~~
楼主请问下该怎么办啊??
...........................

你可以尝试使用KillBox之类的软件。

也可以到安全模式下删除。

我个人推荐的操作顺序是：重启到安全模式下，停止并禁用服务，终止进程，删除文件，禁用系统还原功能，清空IE临时文件夹，重新启动电脑，启用系统还原功能。

影子110 - 2005-11-19 19:08:00

引用:

【endurer的贴子】
我个人推荐的操作顺序是：重启到安全模式下，停止并禁用服务，终止进程，删除文件，禁用系统还原功能，清空IE临时文件夹，重新启动电脑，启用系统还原功能。
...........................

我曾经修改过某个服务（已经记不清是哪个了，，，呵呵，后来让我进不了系统，害得我又去电脑城重装了下系统~~~所以，现在我轻易的可不敢再~~~）
而且，好像很多的服务都和其它的一些服务有依附关系，，，一但关闭了哪个，那其它的有关联的那些服务好像也就跟着不能用了~~~，这些木马或病毒的服务是否也会和其它正常服务有关联呢~，，，
另，一旦因为错误的修改了某些正常的服务，而导致无法进入系统时，，，是否还有补救的方法呢~？（除了重装系统~~~

）

还有一个，，，就是关于系统还原的~~
错误的更改了服务项后（如果能够正常进入系统），是否能够利用它来恢复原来的设置~？

stingbin - 2005-11-19 22:36:00

引用:

【endurer的贴子】

你可以尝试使用KillBox之类的软件。

也可以到安全模式下删除。

我个人推荐的操作顺序是：重启到安全模式下，停止并禁用服务，终止进程，删除文件，禁用系统还原功能，清空IE临时文件夹，重新启动电脑，启用系统还原功能。
...........................

你好
请问：
如何停止并禁用服务？
禁用系统还原功能是在系统属性---系统还原选项里把那个 “在所有系统驱动器上关闭还原”选中是吗？
谢谢！

丝丝乖乖 - 2005-11-20 10:48:00

我终于知道怎么扫描了...是不是下面这个?谢谢影子GG帮我看一下...那个...高手都好看看...还有哦...我周末回家每天都在杀毒.但每天都能杀到backdoor.gpigeon.ssg和backdoor.gpigeon.uq的病毒...都显示清除成功了...可第二天还能杀出来..再清除成功...不知道明天会不会还杀出来...好奇怪呀...杀不干净吗?

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 10:40:08, 日期 2005-11-20
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3W1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\leean\桌面\HijackThis1991zww汉化版\HijackThis1991zww.exe

O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] C:\Program Files\rising\Rfw\rfwmain.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [ExFilter] Rundll32.exe C:\WINDOWS\system32\hookdll.dll,ExecFilter solo
O4 - 启动项HKLM\\Run: [EPSON ME 1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3W1.EXE /P10 "EPSON ME 1" /O6 "USB001" /M "ME 1"
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72C58837-32B2-40A4-8A25-5FF9AABBF901}: NameServer = 202.96.209.133 202.109.116.116
O23 - NT 服务: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: ipsecd - Unknown owner - C:\WINDOWS\ipsecd.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

丝丝乖乖 - 2005-11-20 11:07:00

高手都爱睡懒觉...快来...快来嘛...这个病毒会不会盗取偶的什么帐号,密码的呀??

瘋誑※Online - 2005-11-20 12:37:00

......沉默中

whhg432 - 2005-11-20 12:40:00

我也中毒了，杀了一整天，没有杀死，谁帮我看看呀！

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 12:29:26, 日期 2005-11-20
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\Program Files\wsearch\Search.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\zsxz\UrlService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\zsxz\IEUrldrive.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\HijackThis_zww汉化版扫描日志 V1.99.1\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: 划词搜索.lnk = C:\Program Files\HuaCi\zsearch.exe
O4 - Startup: 桌面媒体.lnk = C:\WINDOWS\system32\rundll32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - IE右键菜单中的新增项目: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - IE右键菜单中的新增项目: 反向链接 - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 导出当前页到超星阅览器(&A) - d:\Program Files\SSREADER36\ss_all.htm
O8 - IE右键菜单中的新增项目: 导出选中部分到超星阅览器(&S) - d:\Program Files\SSREADER36\ss_select.htm
O8 - IE右键菜单中的新增项目: 类似网页 - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - IE右键菜单中的新增项目: 缓存的网页快照 - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - IE右键菜单中的新增项目: 翻译英文字词(&T) - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - IE右键菜单中的新增项目: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - 浏览器额外的按钮: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT] 中文上网
O17 - HKLM\System\CCS\Services\Tcpip\..\{59B29E2B-AF51-4E2F-B849-E372A98D49AA}: NameServer = 202.102.152.3 202.102.154.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{59B29E2B-AF51-4E2F-B849-E372A98D49AA}: NameServer = 202.102.152.3 202.102.154.3
O23 - NT 服务: DNS TIMER CONTROL - Unknown owner - C:\WINDOWS\DNS.exe (file missing)
O23 - NT 服务: Download Service - Unknown owner - C:\WINDOWS\system32\SeedServ.exe
O23 - NT 服务: Event Client - Unknown owner - C:\Program Files\zsxz\UrlService.exe
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\Rising\Rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

瑞星卡卡安全论坛