【回复“魔幻乱舞”的帖子】

》》我每次开机时瑞星防火墙都有显示清除Worm.Mail.Fanbot木马的信息

请确认是瑞星杀毒软件报告的还是瑞星防火墙的？

如果是瑞星杀毒软件报告的，请把瑞星杀毒软件的历史记录导出贴上来，方便大家分析。

》》安全模式下我也去杀了几次毒,但是无效...
不知是否查杀到病毒？

瑞星杀毒软件报告Worm.Mail.Fanbot，可能是由于灰鸽子插入explorer进程引起的。

还请使用HijackThis扫描一个LOG贴上来，方便大家分析。

Logfile of HijackThis v1.99.1
Scan saved at 14:43:08, on 2005-12-6
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Ringz Studio\Storm Codec\qttask.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\aucheck.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
F:\HijackThis.exe

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: (no name) - {01A7A372-71E8-4022-9D76-B66BECF71A2E} - C:\WINDOWS\system32\IEBHODLL.dll
O2 - BHO: IDDTInitObj Class - {15DDE989-CD45-4561-BF99-D22C0D5C2B74} - E:\PROGRA~1\sina\UC\UCddt\ddtinit.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IEMenu Class - {5D8B0CBC-6A8F-4495-96F0-631BAEEC93A6} - C:\WINDOWS\system32\hookie.dll
O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O2 - BHO: (no name) - {88BF653B-4A6B-4C05-8CF9-EE321702547A} - C:\WINDOWS\system32\ABBD9FF5.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\qylhelper.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FLASHGET\fgiebar.dll
O3 - Toolbar: 新浪点点通 - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - E:\PROGRA~1\sina\UC\UCddt\DDTONG~1.DLL
O3 - Toolbar: 易我秀 - {C6D4A6B6-B511-4079-9F4A-9080D43C44D3} - D:\PROGRA~1\工ぞ具運\EoShow\DLL\EOSHOW~1.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O4 - HKLM\..\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\..\Run: [vscvol.exe] C:\Program Files\Roland\VSC32\vscvol.exe
O4 - HKLM\..\Run: [vsc32cnf.exe] C:\Program Files\Roland\VSC32\vsc32cnf.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -startup
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Ringz Studio\Storm Codec\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Update] C:\WINDOWS\system32\aucheck.exe
O8 - Extra context menu item:  >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O8 - Extra context menu item: !搜一搜 - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: 1.秀字转换 - res://C:\WINDOWS\system32\esagent.dll/open.html
O8 - Extra context menu item: 2.表情插入 - res://C:\WINDOWS\system32\esagent.dll/emot.html
O8 - Extra context menu item: 3.插入QQ表情 - res://C:\WINDOWS\system32\esagent.dll/openqqemot.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用新浪下载助手下载 - E:\PROGRA~1\sina\UC\UCddt\sinadl.htm
O8 - Extra context menu item: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: 收藏此页到ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - Extra context menu item: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - E:\Program Files\sina\UC\UC.exe
O9 - Extra button: 易我秀 - {37B3AC58-42B3-43DE-9E3C-2B7D46B2BB51} - http://www.eoshow.com/index.html?agent=ie (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FLASHGET\flashget.exe
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7260569F-1D40-4E7F-B95B-2E68D35668B9} (MofileUploadX Control) - http://www.mofile.com/activex/UploadFX.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{001C7124-76CC-4C78-BEBB-FA74492DE8E1}: NameServer = 202.96.209.6 202.96.209.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{001C7124-76CC-4C78-BEBB-FA74492DE8E1}: NameServer = 202.96.209.6 202.96.209.133
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pigeon - Unknown owner - C:\WINDOWS\foxse.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\Rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

扫描了一下,请endurer兄帮我分析一下!
万分感激!

其实用3721的反间谍专家2。1版完全可以搞定

引用:

【endurer的贴子】【回复“ncqd”的帖子】 请把C:\WINDOWS\TEMP\remotesetup.exe发到endurer@163.com >>%SystemRoot%\Installer\{37C629F7-E196-4AE4-9547-30BA6E99AAEF}\_49442e40.exe没有找到（其搜索显示是C:\WINDOWS\Installer\{37C629F7-E196-4AE4-9547-30BA6E99AAEF}应用了一个不可用的位置，它可能是一个在本机或网络上的计算机的硬盘驱动器，请检查以确认此盘正确连接或者你连接到interner或你的网络上，然后再试一次，如果仍然不能定位，可能信息已经被移到其它地方） 如果这个东东不是你安装的，建议用HijackThis修复它。 》》还有上次删除的文件c:\windows\microsoft webserver.exe 又存在了 国为你的Win XP系统只打了SP1，还存不相当多的漏洞可以被利用。 请到安全模式下 停止并禁用服务Microsoft WebServer 设置系统显示所有文件和文件夹 删除C:\WINDOWS\Microsoft WebServer.exe 关闭所有文件夹和浏览器窗口，用HijackThis修复： O4 - Global Startup: VIP.lnk = ?SystemRoot%\Installer\{37C629F7-E196-4AE4-9547-30BA6E99AAEF}\_49442e40.exe O23 - NT 服务: Microsoft WebServer - Unknown owner - C:\WINDOWS\Microsoft WebServer.exe 关闭系统还原功能 请空IE临时文件夹 ...........................

endurer版主：
　　请问在删除C:\WINDOWS\Microsoft WebServer.exe时，电脑提示“此文件是系统文件，如果删除，您的计算机或某个程序可能无法正常工件”　还要删除它吗？如果删除了会不会有什么影响？
　　还有VIP是我安装的（打电话用的），我就没修复这项，不会有问题吧。

【回复“魔幻乱舞”的帖子】

以下修复的操作方法可参考第125楼里的相关连接


1。启动计算机到Windows的安全模式下

2。停止并禁用系统服务Pigeon

3。开始--》设置--》控制面板--》添加删除程序，卸载青娱乐、完美网译通

如果要删除MMSAssist，请参考：
技巧:杀掉娱乐心空及MMSassist.dll - - 飘雪工作室
http://www.pxue.com/Html/510.html

4。设置系统显示所有文件和文件夹

5。寻找如下文件

C:\WINDOWS\foxse.exe
C:\WINDOWS\foxse.dll
C:\WINDOWS\foxse_dll.dll
C:\WINDOWS\system32\aucheck.exe
C:\WINDOWS\system32\ABBD9FF5.dll
C:\WINDOWS\system32\IEBHODLL.dll
C:\WINDOWS\system32\hookie.dll

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

6。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)

O2 - BHO: (no name) - {01A7A372-71E8-4022-9D76-B66BECF71A2E} - C:\WINDOWS\system32\IEBHODLL.dll

O2 - BHO: IEMenu Class - {5D8B0CBC-6A8F-4495-96F0-631BAEEC93A6} - C:\WINDOWS\system32\hookie.dll


O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

O2 - BHO: (no name) - {88BF653B-4A6B-4C05-8CF9-EE321702547A} - C:\WINDOWS\system32\ABBD9FF5.dll

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\qylhelper.dll


O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll

O4 - HKCU\..\Run: [Update] C:\WINDOWS\system32\aucheck.exe

O23 - Service: Pigeon - Unknown owner - C:\WINDOWS\foxse.exe


7。关闭系统还原功能

8。清空IE临时文件夹



如果

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

这一项反复出现

请参考魔法学徒版主的贴再处理一下：
【讨论】关于stdup.dll反复出现、无法删除的解决办法
http://forum.ikaka.com/topic.asp?board=67&artid=7423269

【回复“ncqd”的帖子】

>>请问在删除C:\WINDOWS\Microsoft WebServer.exe时，电脑提示“此文件是系统文件，如果删除，您的计算机或某个程序可能无法正常工件”　还要删除它吗？

请先用压缩软件（如WinRAR, WinZIP）把C:\WINDOWS\Microsoft WebServer.exe打包备份，并把打包备份的文件发到endurer@163.com。

再把原文件C:\WINDOWS\Microsoft WebServer.exe删除。

》》如果删除了会不会有什么影响？
在拿到这个Microsoft WebServer.exe文件前还不好说。
目前估计不会对你的系统有什么影响。



》》还有VIP是我安装的（打电话用的），我就没修复这项，不会有问题吧。

如果你知道这项是安全的，自然不必处理。

楼主Backdoor.Berbew.b为何类病毒给个指引
本人实在差劲，归属小鸟类

楼主你好，我的机子瑞星说是中了灰鸽子木马了，每次重启防火墙都提示内存中有该木马
“详细内容2005-12-07 18:59:55, IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE ->Backdoor.GPigeon.pd”
但是我用hijackthis扫描后找不到所谓的服务端，如下：
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      18:27:43, 日期 2005-12-7
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
D:\PROGRAM FILES\RISING\RAV\RavStub.exe
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
D:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe
C:\WINDOWS\system32\wuauclt.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\qq\QQIEHelper.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Sandai Technologies Inc\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Sandai Technologies Inc\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - D:\Program Files\BitSpirit\bsurl.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\Program Files\HFGameOPT\GameClient.exe
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\qq\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\qq\QQ.EXE
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://bbsky.wuhan.net.cn/plugin/PowerPlr.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118658810953
O16 - DPF: {DDA166FA-B3EA-4A3B-8EE2-4F552CDEEE81} (KATScan Control) - http://211.152.52.102/duba/antitrojan/update/OCX/KATScan.CAB
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://pcastdl.dudu.com/files/pCastCtl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{948E69A5-27F6-435D-BC76-B8ED7C957CAB}: NameServer = 202.103.24.68
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: WindowsUpdate - Unknown owner - C:\Program Files\WindowsUpdate\WinUp.exe

各位能帮我看看机子出啥毛病没？
我照着别的论坛上的手动删除的方法试过了，在windows下的一个文件夹里（具体是哪个忘记了）找到一个mag_hook.dll文件,但是它的mag.exe和magkey.exe没有找到 我又在注册表中删掉了含有mag_hook.dll magkey.dll的那个注册表项
但奇怪的是那个注册表项不在services里，重启电脑后还是一直提示有木马！
真是晕死鸟
请楼主大哥帮帮忙，小弟在此先谢谢了

【回复“尘封绝恋”的帖子】

从病毒名里的“backdoor”看，这是个后门程序。

瑞星病毒资料库里的信息：

http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=76059


病毒分类  WINDOWS下的PE病毒  病毒名称  Backdoor.Berbew.b
别    名    　 病毒长度     
依赖系统    传播途径    　
行为类型  WINDOWS下的木马程序  感    染    　
病毒发作  瑞 星 版 本 号  　  17.11

【回复“蜡笔小忻”的帖子】

以下修复的操作方法可参考第125楼里的相关连接


1。启动计算机到Windows的安全模式下

2。停止并禁用系统服务WindowsUpdate

3。设置系统显示所有文件和文件夹

4。寻找如下文件

C:\WINDOWS\system32\mbprot.dll
C:\Program Files\WindowsUpdate\WinUp.exe

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把WinUp.exe的打包备份文件发到endurer@163.com。

5。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：


R3 - 默认的URLSearchHook丢失。用HijackThis修复

O14 - IERESET.INF: START_PAGE_URL=about:blank

O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://pcastdl.dudu.com/files/pCastCtl.cab

O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - NT 服务: WindowsUpdate - Unknown owner - C:\Program Files\WindowsUpdate\WinUp.exe


6。关闭系统还原功能

7。清空IE临时文件夹