瑞星卡卡安全论坛
dady欢欢 - 2006-8-29 20:37:00
| 引用: |
【闪电风暴的贴子】找到了:http://www.xfocus.net/articles/200512/841.html
……………… |
这是什么啊,都是一帮子看不懂的代码啊------------好好补习--------------------努力前进
高作 - 2006-8-29 21:28:00
今天上网时跳出一个对话框:灰鸽子远程控制程序安装成功。
是不是说我的机器已中招了,忙活了一晚上,到现在还没找到在那。各位帮帮忙啊。
binqun - 2006-8-29 21:37:00
Logfile of HijackThis v1.99.1
Scan saved at 21:27:27, on 2006-8-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
H:\软件\病毒防治\ha_hijackthis_1991\HijackThis.exe
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5001.dll (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wsd_sock32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wsd_sock32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A6E3C51-A52C-4AD7-B469-5665651A80E7}: NameServer = 61.139.2.69 202.98.96.68
请分析下,好像中毒了
天天泡泡 - 2006-8-29 22:24:00
| 引用: |
【我无邪的贴子】
NOD官方默认的设置是不扫压缩包的。
……………… |
反正我采用,具体的设置还不是特别清楚,压缩包的问题管它是不扫还是删除,默认的选项中“移除到隔离区”是没有勾选的,我的样本就这么没了。
现在进行时 - 2006-8-29 23:34:00
| 引用: |
【oyxh的贴子】希望瑞星的新板加上彻底查杀这个病毒的程序
……………… |
灰鸽子,怎么可能彻底查杀。它是开源的,变种那么多,只要改点内部代码什么的,杀软就得定义一次它的特征码
瑟瑟异议 - 2006-8-30 0:47:00
现在满目的灰鸽子求助。。汗
oyxh - 2006-8-30 10:25:00
瑞星及中国搞软件的难道都是吃干饭的吗?!
1个已经知道的病毒杀不了,要那么这些人干什么?!!
刀刀笨贼 - 2006-8-30 17:23:00
| 引用: |
【baohe的贴子】
晕
玩儿病毒,就别用太牛的杀软了。
否则,常常会有要哭的感觉。
……………… |
用着毒霸就不怕杀咯
友好人士 - 2006-8-30 23:15:00
| 引用: |
【天天泡泡的贴子】
反正我采用,具体的设置还不是特别清楚,压缩包的问题管它是不扫还是删除,默认的选项中“移除到隔离区”是没有勾选的,我的样本就这么没了。
……………… |
因为没勾这项,所以直接删除了,否则可以在隔离区里把文件还原.
nod32并不是很强,个人感觉.
旅程凌 - 2006-8-31 3:58:00
灰鸽子样本我有啊!在我硬盘养着呢,挺听话的叫它别处来在我电脑闹事它就不出来闹事整天在我的硬盘里睡觉(没分白天黑夜)(呵呵---就是自己别运行它就不会出来搞自己的电脑〉上面我说的有点玩笑希望别见笑)
猪宝宝2006 - 2006-8-31 8:24:00
谁有查找灰鸽子主人的技术文章?
丁丁DPY - 2006-8-31 11:10:00
【回复“天天泡泡”的帖子】
我一用ICESWORD电脑就重启,为什么???
下面是我的进程列表,帮我分析一下,谢谢!!
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 14:40:31, 日期 2006-9-1
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Unable to get Internet Explorer version!
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_8917.dll (file missing)
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper200685_8917.dll (file missing)
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O4 - 启动项HKLM\\Run: [RavTask] ; "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BitComet] "F:\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - F:\迅雷5\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\迅雷5\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:\WINDOWS\webwork\webwork.dll
O23 - NT 服务: Database information combine (DbooInfo) - 易易加速科技有限公司 - C:\WINDOWS\dbmsinfo.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: system (system guest) - Unknown owner - C:\WINDOWS\system.exe (file missing)
情天大圣 - 2006-8-31 12:16:00
救命啊!~一开机就就回弹出网业!~不!应该是每隔5分钟就弹出来......C:\WINDOWS\Temp\SafePage.htm昏迷啊!~这里有那么多高手!~就教教偶吧!~
无限001 - 2006-8-31 12:56:00
强烈支持,只是能图文并茂的话,就更加清楚明了了!
qjklw44 - 2006-8-31 14:42:00
在瑞星防火墙的系统状态的svchost.exe -k netsvcs的UDP的Local发现:127.0.0.1:1270(灰鸽子)。
最新版的杀毒软件查不出找不到病毒。用Iesword.exe也查不出什么。可就是经常打不开网页,一查看错误信息就是:
Alerter 服务相依的 Workstation 服务因下列错误而无法启动: 无法启动服务,原因可能是已被禁用或与其相关联的设备没有启 动。
Service Control Manager与 Alerter 服务相依的 Workstation 服务因下列错误而无法启动: 无法启动服务,原因可能是已被禁用或与其相关联的设备没有启 动。
Service Control Manager与 Computer Browser 服务相依的 Server 服务因下列错误而无法启动: 无法启动服务,原因可能是已被禁用或与其相关联的设备没有启 动。
请问请问电脑高手——该如何?
神秘的小白 - 2006-8-31 14:58:00
送给你们一个...06灰鸽子..需要的..就自己按
http://year1980.spaces.live.com/blog/
影子110 - 2006-8-31 18:30:00
那个1.exe已经没有了~~
影子110 - 2006-8-31 18:42:00
但那个网页有病毒~~(脚本)
mkbl2000 - 2006-9-1 20:33:00
发现鸽子,救助?用HijackThis v1.99.1分析后,看不懂,请问如何处理?
Logfile of HijackThis v1.99.1
Scan saved at 18:40:47, on 2006-9-1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\khooker.exe
C:\WINDOWS\Hcontrol.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\ATKOSD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrator.KTV-36CC40CE2BD\My Documents\HijackThis.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - e:\Program Files\Tencent\QQ\QQIEHelper.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - E:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - E:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: (no name) - {0062C9BD-B349-40DE-91A0-755F37ACD559} - (no file)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - e:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - e:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Helpers - Unknown owner - C:\WINDOWS\Helpers.exe
O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
mkbl2000 - 2006-9-1 20:35:00
请高手帮忙......
mkbl2000@tom.com
mkbl2000 - 2006-9-1 21:13:00
用瑞星查杀发现鸽子在C:\Program Files\Internet Explorer中iexplore.exe文件中,每次杀完后,开机又出现>>>,,
西门修罗 - 2006-9-1 21:21:00
顶!我顶!我还顶!
© 2000 - 2026 Rising Corp. Ltd.