瑞星卡卡安全论坛

从目前反映的情况看来，这个“灰鸽子”跟以前真正的灰鸽子有明显不同：
真正的“模块覆盖型”（瑞星听诊器语）灰鸽子（比如黑防鸽子），每次开机运行服务，后台启动IE进程之后即停止。杀毒软件的内存监控杀掉之后，再打开IE是不可能再出现的，因为这个时候灰鸽子服务已经停止了。
但是现在这个“灰鸽子”，既不是dll插入进程式的，又在每次打开IE进程时被杀毒软件查到，这显然十分异常。同样，SREng的服务项看不出有异常。

如果中毒会员的SREng日志服务项无异常，请回想以下问题：
开机不打开IE，瑞星是否会报毒？是否是打开IE之后瑞星才报毒？
开机不打开IE的情况下，在任务管理器中是否有一个iexplore.exe进程？

如果开机时瑞星并不报毒，只有再打开IE之后才报毒的话：
下载IceSword（下载地址在http://forum.ikaka.com/topic.asp?board=28&artid=6979213第1楼），在开机不打开IE的情况下，用IceSword查看进程，看看是否有iexplore.exe进程。
IceSword的基本使用方法见置顶帖http://forum.ikaka.com/topic.asp?board=28&artid=7168178

请仔细回答问题和进行以上所说的尝试，跟帖回复结果。
注意，本帖中询问只针对中Backdoor.Gpigeon.lxb的电脑，对于其他灰鸽子变种本帖不讨论，请勿混淆！！！

我去下一个  我现在无奈了 每次杀完没事
再从起杀也没了
过几天无意一查又中……

没有~~一切正常  没发现iexplore.exe

打开IE能发现    我是刚杀了那个毒 试的~我从起后再查查

查完了`只有打开IE才出

截图给我

刚从起完  没上网  没开IE  发现了windows\explorer.exe

然后上网 开网页  用瑞星一杀又发现了


还一个没见过的windows\system32\webm\wmiprvse.exe

不知道啥

图：

附件: 29543920061229184933.jpg

explorer没问题
windows\system32\webm\wmiprvse.exe也没问题

这个图吗

附件: 81186420061229185108.BMP

怀疑瑞星误报病毒名称...

这个图是我杀了毒的

我从起再截一张

9楼那个图没发现问题

日志无异常
关IE无相关进程

附件: 79810920061229185352.jpg

没有发现什么异常……见鬼了

9楼的bangbangwohaoma
用你的卡卡扫个日志，没准有什么发现

我同学也这样，开机无异常，一杀毒就会杀到！汗死，日志没看出任何异常！

Logfile of Kaka v2. 0. 2. 6 Scan Module v1. 0. 3. 9
Scan saved at 18:59:33, on 2006-12-29
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: Thunder Browser Helper - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_006.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKLM\..\Run: [ATICCC] ; "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [RemoteControl] ; C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [StormCodec_Helper] ; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra Button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra Button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra Button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O17 - HKLM\System\CCS\Services\Tcpip\..\{3818FFC2-5F2E-4E04-8ED8-5F96D1E3F814}: NameServer = 202.99.96.68 202.99.64.69
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O20 - Winlogon Notify: AtiExtEvent
O23 - Service: Ati HotKey Poller (Ati HotKey Poller) - ATI Technologies Inc. - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: ATI Smart (ATI Smart) -  - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"

查看了..我开机瑞星不会报毒..打开IE..瑞星也不会报毒..IceSword也没有iexplore.exe
打开IE..用杀毒..才会查到...不打开IE杀毒就没查到

另外 我可以很负责的告诉各位 不是误报
我家联想有个智慧盾系统
今天这个木马试图修改pagefile.sys
我拒绝了就死机

EXPLORER.EXE在我不打开IE时也会有的,不打开IE瑞星也不会提示..不知道怎么了,刚刚发了个帖子,是我的日志希望高手们看一下谢谢

用icesword就会有iexplore.exe，而且显示为红色！！

棘手……碰着鸽子幽灵了，中招的有谁会用ssm？

引用:

【樱树下の思绪的贴子】另外 我可以很负责的告诉各位 不是误报 我家联想有个智慧盾系统 今天这个木马试图修改pagefile.sys 我拒绝了就死机 ………………

什么文件知道么？

【回复“水树雨下”的帖子】
你最喜欢杀鸽子了,杀到今天碰到幽灵了

开机启动进程里没有IE进程
不开IE,内存扫描,瑞星没反应

引用:

【水树雨下的贴子】 什么文件知道么？ ………………

不是说的很清楚了么
pagefile.sys
貌似是虚拟内存文件

引用:

【yutiansunshine的贴子】用icesword就会有iexplore.exe，而且显示为红色！！ ………………

附件: 81152920061229191041.jpg

【回复“303266474”的帖子】
老大，你的图这么小，怎么看？

不开IE 随便正杀反杀 都没问题
但一开IE 在用RISING杀马上IE自动关闭 提示我中了Backdoor.Gpigeon.lxb