HijackThis_815汉化版扫描日志 V1.99.1
保存于      15:32:42, 日期 2005-10-13
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Program Files\BitSpirit\BitSpirit.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.904\HijackThis1991zww.exe

O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\3721\Assist\Angling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - G:\Program Files\Tencent\qq\QQIEHelper.dll
O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing)
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - E:\Program Files\Xi\Net Transport\NTIEHelper.dll
O2 - BHO: InsIII - {DDDE2452-AF9E-4577-AE6C-465DBCB54D49} - C:\WINDOWS\system32\obdc32tg.dll
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [MINI_MINIPP] rem C:\Program Files\MINIPP\MINIPP.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] rem RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] rem nwiz.exe /install
O4 - 启动项HKLM\\Run: [DAEMON Tools-2052] rem "C:\Program Files\D-Tools\daemon.exe"  -lang 2052
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [MINI_BFYY] C:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
O4 - 启动项HKLM\\Run: [NvMediaCenter] rem RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - 启动项HKLM\\Run: [yassistse] rem "C:\Program Files\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [helper.dll] rem C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - Startup: 宽带拨号.lnk = ?
O4 - Global Startup: 宽带拨号.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: &使用暴风下载器下载 - C:\Program Files\Ringz Studio\Storm Downloader\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\Program Files\讯雷5\geturl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - G:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - E:\PROGRA~1\XI\NETTRA~2\NTAddLink.html
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - G:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - G:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - G:\Program Files\Tencent\qq\SendMMS.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - C:\Program Files\BitSpirit\bsurl.htm
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://172.17.3.11/plugin/PowerPlr.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123068399174
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCC39D15-09FE-49E2-80C6-157E67B5DB8A}: NameServer = 202.96.209.133 202.96.209.5
O23 - NT 服务: cs1.6 (cd1.6) - Unknown owner - C:\WINDOWS\G_Server.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: Server2.0 - Unknown owner - C:\WINDOWS\Server2.0.exe
O23 - NT 服务: sm3ss - Unknown owner - C:\WINDOWS\sm3ss.exe

O23 - NT 服务: cs1.6 (cd1.6) - Unknown owner - C:\WINDOWS\G_Server.exe
这个怎么象鸽子啊

O23 - NT 服务: Server2.0 - Unknown owner - C:\WINDOWS\Server2.0.exe
O23 - NT 服务: sm3ss - Unknown owner - C:\WINDOWS\sm3ss.exe
这2个 是什么东东啊!

先修复下面两个06项
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

下面三个是鸽子请参照下帖进行逐个查杀~~~
“新版灰鸽子”的一些特点及手工查杀举例
http://forum.ikaka.com/topic.asp?board=28&artid=7156227


O23 - NT 服务: cs1.6 (cd1.6) - Unknown owner - C:\WINDOWS\G_Server.exe
O23 - NT 服务: Server2.0 - Unknown owner - C:\WINDOWS\Server2.0.exe
O23 - NT 服务: sm3ss - Unknown owner - C:\WINDOWS\sm3ss.exe

也可以用下帖中的软件来查杀鸽子，，，（比较见效）
使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178


如何看鸽子服务在注册表中的注册服务名见下
O23 - NT 服务: cs1.6 (cd1.6) - Unknown owner - C:\WINDOWS\G_Server.exe
cs1.6就是鸽子在注册表中注册的服务名，其它两个以此类推（不用我再说了吧~呵呵）

O23 - NT 服务: cs1.6 (cd1.6) - Unknown owner - C:\WINDOWS\G_Server.exe
灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件；病毒文件名可变，但有一定规律。目前为止，我见过的病毒文件均在%WinDir%下；病毒文件名可以是以下三组之一：
1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll
2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll
3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll
病毒文件名的命名规律是：X.exe，X.dll，X_Hook.dll，其中“X”指文件名的变化部分。在WINDOWS模式下，三个病毒文件均为隐藏文件。在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后，在安全模式下才能看到病毒文件。

手工查杀灰鸽子2005的关键是找到病毒注册的系统服务名及病毒文件X.exe所在位置。用HijackThis 1.99.0扫日志即可达到此目的（见附图）。HijackThis 1.99.0的下载地址：http://forum.ikaka.com/download.asp?id=5188960。这步操作在普通WINDOWS模式下即可完成，不一定非在“安全模式”下完成。



确定并记下病毒服务名称后，即可重启系统至安全模式，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM\ CURRENT CONTROLSET\ SERVICES \ 病毒服务名称（如：“GrayPigeonServer”），将其删除。




在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。重启系统，手工杀毒即告完成。

此外C:\WINNT\system32\regsvc.exe是“远程注册表操作”（一个系统服务），建议关闭它。
查杀灰鸽子的方法在这里有解答！http://forum.ikaka.com/topic.asp?board=28&artid=6372316

新版灰鸽子开始流行。看了几个网友的杀毒报告和HijackThis1.99.1扫的日志，归纳出以下特点，供朋友们自己动手查杀时参考：

1、木马文件所在位置不定。目前，看到三种情况：
（1）木马文件在%windows%文件夹中。这和“灰鸽子2005”没太大区别。
（2）木马文件在%windows%\Internet Explorer\文件夹中（这个文件夹是灰鸽子创建的）。
（3）木马文件在%system%\drviers\文件夹中。

2、可执行文件.exe的文件名变化不定。目前见到的有：

C:\windows\Internet Explorer\svchost.exe

C:\WINDOWS\system32\drivers\UPS.exe

3、共同的特点：
（1）以前的.DLL文件没了，改成了一个.DAT文件。可执行文件.exe与.DAT文件同在一个位置。.exe和.DAT文件名随机。我拿到的一个样本，感染系统后，在C:\windows\下创建一个名为Internet Explorer的文件夹；生成的木马文件位于C:\windows\Internet Explorer\文件夹内（杀毒前，用资源管理器看不到其中的木马文件）。用IceSword可看到这个文件夹中的两个木马文件svchost.exe和XXXXXX.DAT(XXXXXX为可变的大写英文字母)。
（2）HijackThis1.99.1日志中可以发现异常系统服务项O23。如：O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe。其中，括弧中的virtual就是要删除的注册表项；C:\windows\Internet Explorer\是木马可执行文件所在的文件夹，svchost.exe是木马的可执行文件。
（3）感染系统后，那个.DAT通过iexplore.exe插入系统中当前活动的多个正常程序的进程（见附图中的红色部分）。这正是灰鸽子难杀的根本原因。
4、手工查杀（以我拿到的那个样本为例）：
在IceSword的“设置”中勾选“禁止进程创建，结束木马进程（本例是C:\windows\Internet Explorer\svchost.exe）、iexplore.exe（IE浏览器进程）。
用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项（本例是virtual和mchInjDrv，均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支）。
在IceSword的“设置”中取消“禁止进程创建”，重启系统。
将C:\windows\Internet Explorer\整个文件夹删除。

谢谢

C:\WINDOWS\system32\wdfmgr.exe

引用:

【建能的贴子】新版灰鸽子开始流行。看了几个网友的杀毒报告和HijackThis1.99.1扫的日志，归纳出以下特点，供朋友们自己动手查杀时参考： 1、木马文件所在位置不定。目前，看到三种情况： （1）木马文件在%windows%文件夹中。这和“灰鸽子2005”没太大区别。 （2）木马文件在%windows%\Internet Explorer\文件夹中（这个文件夹是灰鸽子创建的）。 （3）木马文件在%system%\drviers\文件夹中。 2、可执行文件.exe的文件名变化不定。目前见到的有： C:\windows\Internet Explorer\svchost.exe C:\WINDOWS\system32\drivers\UPS.exe 3、共同的特点： （1）以前的.DLL文件没了，改成了一个.DAT文件。可执行文件.exe与.DAT文件同在一个位置。.exe和.DAT文件名随机。我拿到的一个样本，感染系统后，在C:\windows\下创建一个名为Internet Explorer的文件夹；生成的木马文件位于C:\windows\Internet Explorer\文件夹内（杀毒前，用资源管理器看不到其中的木马文件）。用IceSword可看到这个文件夹中的两个木马文件svchost.exe和XXXXXX.DAT(XXXXXX为可变的大写英文字母)。 （2）HijackThis1.99.1日志中可以发现异常系统服务项O23。如：O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe。其中，括弧中的virtual就是要删除的注册表项；C:\windows\Internet Explorer\是木马可执行文件所在的文件夹，svchost.exe是木马的可执行文件。 （3）感染系统后，那个.DAT通过iexplore.exe插入系统中当前活动的多个正常程序的进程（见附图中的红色部分）。这正是灰鸽子难杀的根本原因。 4、手工查杀（以我拿到的那个样本为例）： 在IceSword的“设置”中勾选“禁止进程创建，结束木马进程（本例是C:\windows\Internet Explorer\svchost.exe）、iexplore.exe（IE浏览器进程）。 用IceSword删除C:\windows\Internet Explorer\svchost.exe。 用IceSword删除木马添加的注册表项（本例是virtual和mchInjDrv，均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支）。 在IceSword的“设置”中取消“禁止进程创建”，重启系统。 将C:\windows\Internet Explorer\整个文件夹删除。 ...........................

这个有了这么久了，我就是没有见过欺负我！！谁有个样本啊？给我个：ilif01@yahoo.com.cn