55555555555555555,我的电脑中了该死的灰鸽子一个月拉,我都快急死拉,看了各位高手的文章之后发现要扫描日志,这是我的,请高手帮帮忙,帮我分析一下,到底哪个是灰鸽子啊!!!!!!!!!!!!!!!!!!!!!小妹妹我先谢谢拉!!!!!!!!!!!!!!!!!!!!!!!!!!!
Logfile of HijackThis v1.99.0
Scan saved at 15:12:25, on 2005-12-8
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Rising\Rav\Ravmon.exe
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\锐捷网络\Ruijie Supplicant\8021x.exe
D:\千千静听\TTPlayer.exe
E:\游戏\TT\TTraveler.exe
D:\灰鸽子\HijackThis\HijackThis.exe

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINDOWS\Downloaded Program Files\barhelp23.0.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 天下搜索 - {56A7DC70-E102-4408-A34A-AE06FEF01586} - C:\WINDOWS\Downloaded Program Files\iebar23.0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sysupate] C:\WINDOWS\System32\NtSysUpdate.exe
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe ?,Rundll32
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\游戏\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\游戏\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\游戏\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\游戏\QQ\SendMMS.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ''Tools'' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra ''Tools'' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [!CNS] 网络实名
O11 - Options group: [CDNCLIENT] 中文上网
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c9.cab
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098418661906
O16 - DPF: {98A62E3F-A8C5-4EF0-8A00-C70CF9D18A89} (LoaderCore Class) - http://tb.sogou.com/DLLoader.cab
O16 - DPF: {EF248BC9-F17D-4024-8868-71A5D22C667C} (Hbact.HbactObject) - http://59.36.96.15/download/updatelist/hap111.cab
O16 - DPF: {EF9F1C48-1A63-495A-9317-B7B71B34A9CF} (Msp Class) - http://ddddl.dudu.com/ddd/update/plugin/dudumsp.cab
O16 - DPF: {F4B47EEA-5D5D-4055-A6B5-ED59CC3C5BB3} (Upgrade Class) - http://update.qyule.com/client.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://pcaststatic.mop.com/dn/files/pCastCtl_1.0.0.71_20050929.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{56CE3474-517A-4293-9690-BE007B8A10BE}: NameServer = 202.197.120.2,202.103.96.112
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ms help - Unknown - C:\WINDOWS\IEXPL0RE.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Rising Personal Firewall Service - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

引用:

【我是小莉莉的贴子】55555555555555555,我的电脑中了该死的灰鸽子一个月拉,我都快急死拉,看了各位高手的文章之后发现要扫描日志,这是我的,请高手帮帮忙,帮我分析一下,到底哪个是灰鸽子啊!!!!!!!!!!!!!!!!!!!!!小妹妹我先谢谢拉!!!!!!!!!!!!!!!!!!!!!!!!!!! ...........................

O23 - Service: ms help - Unknown - C:\WINDOWS\IEXPL0RE.EXE
就是它~~
试试下面的操作看看
关闭IE等 不必要的程 序~~
清空临时文件夹：
IE》属性》删除文件（包括脱机文件）》确定

开始  》 运行 》输入  Regedit.exe  》确定
打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \

SERVICES分支，删除左栏中的病毒服务名  ms help
重启系统，
打开 我的电脑》工具》文件夹选项》查看》显示所有文件，不隐藏受保护的操作系统文件》确定
我的电脑》工具》文件夹选项》查看》去掉“隐藏已知文件类型的扩展名”前的勾
查找并删除以下文件
C:\WINDOWS\IEXPL0RE.EXE
及该文件夹下以IEXPL0RE为文件名的DLL文件
手工操作完后，再全盘查杀下看看~~~
如果有不懂的可以参阅下面这个帖子
http://forum.ikaka.com/topic.asp?board=28&artid=6930995

【回复“黑◆哥◆哥”的帖子】

以下修复的操作方法可参考第125楼里的相关连接


1。启动计算机到Windows的安全模式下

2。关闭系统还原功能

3。停止并禁用系统服务Windows Control Service (ClassService)和windows

4。建议卸载百度超级搜霸（开始--》设置--》控制面板--》添加删除程序）

5。设置系统显示所有文件和文件夹

6。寻找如下文件：

C:\WINDOWS\system32\Update.exe
C:\WINDOWS\system32\NtSysUpdate.exe
C:\WINDOWS\system32\Classsv.exe
C:\WINDOWS\system32\Classsv.dll
C:\WINDOWS\system32\Classsv_dll.dll
C:\WINDOWS\windows.exe
C:\WINDOWS\windows.dll
C:\WINDOWS\windows_dll.dll

把找到的文件先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

7。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O4 - 启动项HKLM\\Run: [Update] C:\WINDOWS\system32\Update.exe
O4 - 启动项HKLM\\Run: [sysupate] C:\WINDOWS\system32\NtSysUpdate.exe

O23 - NT 服务: Windows Control Service (ClassService) - Unknown owner - C:\WINDOWS\system32\Classsv.exe
O23 - NT 服务: windows - Unknown owner - C:\WINDOWS\windows.exe


8。清空IE临时文件夹

【回复“701106”的帖子】

没有发现可疑的服务项。

如果你的电脑/服务器工作不正常，请说明情况，并把完整的HijackThis的LOG发上来，方便大家分析。

引用:

【魔幻乱舞的贴子】还有就是有3个文件我在你提示之前就删除了,所以没无找回 C:\WINDOWS\foxse.exe C:\WINDOWS\foxse.dll C:\WINDOWS\foxse_dll.dll --------------------------------------------- 另外4个我已经打包了,是否马上发进你的邮箱? C:\WINDOWS\system32\aucheck.exe C:\WINDOWS\system32\ABBD9FF5.dll C:\WINDOWS\system32\IEBHODLL.dll C:\WINDOWS\system32\hookie.dll -----------------------------------------------------

请发到endurer@163.com，谢谢！

引用:

【魔幻乱舞的贴子】 我在(添加与删除)里面看见HijackThis是自动安装的,可是点击卸载却是打开HijackThis.EXE的状态,不知道如何卸载这个工具? ...........................

不知你所用的HijackThis是从哪里下载的？

我所用的HijackThis可以在“添加删除程序”里正常卸载。见附件图。

HijackThis本身并不占用多少磁盘空间，留下备用也不错。

如果你确实想删除它，可以把HijackThis.exe及backups文件夹删除。
“添加删除程序”里的HijackThis可以用超级兔子等软件删除。

【回复“endurer”的帖子】先谢谢你的回复！但是我是不懂电脑的人物。我还要朋友来帮我，明天在回答你搞好没。

endurer兄,这2张图上我用红色标出的是什么东西,其中一个是微软的但是我不清楚是干什么用的
另外2个我就更不明白了
麻烦你帮我看一下
----------------------------
C:\WINDOWS\system32\aucheck.exe
C:\WINDOWS\system32\ABBD9FF5.dll
C:\WINDOWS\system32\IEBHODLL.dll
C:\WINDOWS\system32\hookie.dll
这4个东西我已经发出,如果没收到我继续再发!

我的机子也中毒了。每次用杀毒软件都杀不了。开机的时候防火墙系统内存扫描就能发现病毒。郁闷死我了！我该怎么办？病毒名是Backdoor.Gpigeon.ua

【回复“我是小莉莉”的帖子】

影子110 朋友已经在第151楼为您指出了可疑的服务项。

补充建议：

卸载天下搜索

关闭系统还原功能

关闭所有浏览器和文件夹窗口，用HijackThis修复下面这些项目：

O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINDOWS\Downloaded Program Files\barhelp23.0.dll
O3 - Toolbar: 天下搜索 - {56A7DC70-E102-4408-A34A-AE06FEF01586} - C:\WINDOWS\Downloaded Program Files\iebar23.0.dll

O4 - HKLM\..\Run: [sysupate] C:\WINDOWS\System32\NtSysUpdate.exe
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab

O16 - DPF: {EF248BC9-F17D-4024-8868-71A5D22C667C} (Hbact.HbactObject) - http://59.36.96.15/download/updatelist/hap111.cab
O16 - DPF: {EF9F1C48-1A63-495A-9317-B7B71B34A9CF} (Msp Class) - http://ddddl.dudu.com/ddd/update/plugin/dudumsp.cab

O16 - DPF: {F4B47EEA-5D5D-4055-A6B5-ED59CC3C5BB3} (Upgrade Class) - http://update.qyule.com/client.cab

O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll

设置系统显示所有文件和文件夹

寻找并删除下列文件：

C:\WINDOWS\Downloaded Program Files\barhelp23.0.dll
C:\WINDOWS\Downloaded Program Files\iebar23.0.dll
C:\WINDOWS\System32\NtSysUpdate.exe
C:\WINDOWS\System32\mbprot.dll

清空IE临时文件夹

【回复“魔幻乱舞”的帖子】

4个文件已经收到，非常感谢！

关于图中用红色标出的项目：

Ink这个我没见过，有没有可能是打印机的项目呢？

Microsoft GB18030 Support Package的信息可以参考：
http://www.microsoft.com/downloads/details.aspx?FamilyID=93295d9c-89fc-4cba-ab19-ee176ea61d04&displaylang=zh-cn

概述
支持包内容
=========

该 GB18030 支持工具包包含如下内容：
- 字体文件 SimSun18030.ttc
- 代码页支持文件 c_g18030.dll (只安装在Windows 2000 系统中）
- 转换工具gbunicnv.exe
- 微软4字节字符集编码支持包ms4bsp.dll
支持包安装成功后，转换工具 (gbunicnv.exe) 和微软4字节字符集编码支持包 (ms4bsp.dll) 会被安装在系统的 Program Files\GB18030Tools 文件夹下。用户可通过 Windows 2000 或 Windows XP 中的中文内码(Unicode) 输入法输入所需的 GB18030 扩充的4字节汉字。