【求助】令人头疼的灰鸽子。。。。。。。。。。 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】令人头疼的灰鸽子。。。。。。。。。。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【求助】令人头疼的灰鸽子。。。。。。。。。。

carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:	发表于： 2006-02-09 16:30 \| 只看楼主短消息资料字号：小中大 1楼【求助】令人头疼的灰鸽子。。。。。。。。。。我已经查看过注册表的run，没有发现多余启动项，在日志提示的文件夹里，用安全模式查看所有文件，也没有发现提示的文件：C:\Documents and Settings\Owner\Local Settings\Temp\mc21.tmp(每次提示的文件名都不一样，具体为mc21.tmp~mc27.tmp) 因为提示是灰鸽子病毒，因此下载了很多灰鸽子专杀工具也没有查出问题，另外使用了mmsk倒是杀出几个病毒，具体如下：系统事件：内存中发现木马! 木马名称：Trojan-PSW.Win32.Pcik.a.3036 木马从内存中清除成功! 木马在硬盘清除成功! c:\program files\common files\comm\network.exe 系统事件：已发现木马! 木马名称：Adware.cns.4864 木马路径：C:\WINDOWS\system32\cns.dat 处理方式：删除成功系统事件：已发现伪系统木马! 木马名称：Adware.cdn.2124 木马路径：C:\WINDOWS\system32\cns.exe 处理方式：隔离成功系统事件：已发现木马! 木马名称：Adware.cns.4863 木马路径：C:\WINDOWS\system32\cns.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：3721.adware.2337 木马路径：C:\WINDOWS\system32\drivers\CnsMinKP.sys 处理方式：隔离成功 C:\WINDOWS\system32\drivers\CnsMinKP.sys 2006年2月9日内存中发现木马模块!C:\WINDOWS\system32\wmpdrm.dll-=>AdWare.BHO.ab.6057 木马在硬盘清除成功! C:\WINDOWS\system32\wmpdrm.dll 系统事件：已发现木马! 木马名称：AdWare.Plin.b.5982 木马路径：C:\WINDOWS\system32\UnregSkyPfw.exe 处理方式：删除成功系统事件：已发现木马! 木马名称：UnKnownVirus.Morphine.3471 木马路径：C:\WINDOWS\system32\bakcfs\lowlvl.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：BACKDOOR.Trojan.4744 木马路径：C:\WINDOWS\system32\bakcfs\LINBAK.dll 处理方式：删除成功 2006年2月9日系统事件：已发现木马! 木马名称：Adware.yiqu.4832 木马路径：C:\Documents and Settings\All Users\Favorites\易趣购物.lnk 处理方式：隔离成功 C:\Documents and Settings\All Users\Favorites\易趣购物.lnk 系统事件：已发现木马! 木马名称：Adware.yiqu.4832 木马路径：C:\Documents and Settings\All Users.WINDOWS\Favorites\易趣购物.lnk 处理方式：隔离成功 C:\Documents and Settings\All Users.WINDOWS\Favorites\易趣购物.lnk 系统事件：已发现木马! 木马名称：Adware.cns.4863 木马路径：C:\System Volume Information\_restore{02073B99-9B66-40F3-8EE5-F2FA348D9654}\RP223\A0069030.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：AdWare.AllSum.a.6051 木马路径：C:\System Volume Information\_restore{D6C2F0E8-E69F-4E8D-80E3-595F5A6684BB}\RP50\A0020073.exe 处理方式：删除成功系统事件：已发现木马! 木马名称：Adware.cns.4865 木马路径：C:\System Volume Information\_restore{D6C2F0E8-E69F-4E8D-80E3-595F5A6684BB}\RP50\A0020092.exe 处理方式：删除成功系统事件：已发现木马! 木马名称：Adware.cns.4863 木马路径：C:\System Volume Information\_restore{D6C2F0E8-E69F-4E8D-80E3-595F5A6684BB}\RP50\A0020093.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：AdWare.BHO.ab.6057 木马路径：C:\System Volume Information\_restore{D6C2F0E8-E69F-4E8D-80E3-595F5A6684BB}\RP50\A0020098.DLL 处理方式：删除成功系统事件：已发现木马! 木马名称：AdWare.Plin.b.5982 木马路径：C:\System Volume Information\_restore{D6C2F0E8-E69F-4E8D-80E3-595F5A6684BB}\RP50\A0020099.exe 处理方式：删除成功系统事件：已发现木马! 木马名称：UnKnownVirus.Morphine.3471 木马路径：C:\System Volume Information\_restore{D6C2F0E8-E69F-4E8D-80E3-595F5A6684BB}\RP50\A0020100.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：BACKDOOR.Trojan.4744 木马路径：C:\System Volume Information\_restore{D6C2F0E8-E69F-4E8D-80E3-595F5A6684BB}\RP50\A0020101.dll 处理方式：删除成功还有，瑞星在MMSK查毒的过程中，也杀过一个病毒：Dropper.Agent.ac 处理结果发现日期扫描方式路径文件删除成功2006-02-09 15:41文件监控E:\download\变速齿轮43duduchilun.exe 删除成功2006-02-09 15:45文件监控E:\System Volume Information\_restore{D6C2F0E8-E69F-4E8D-80E3-595F5A6684BB}\RP50A0020119.exe 因为是XP系统自带的还原功能里的病毒，因此我关闭了所有盘符的还原功能。但是等我全部查完，重新启动电脑，再次打开街头篮球“FreeStyle”进行游戏的时候，依旧有瑞星的提示：C:\Documents and Settings\Owner\Local Settings\Temp\mc21.tmp 操作无法选择“杀毒”项，我选择“删除”项，提示“重启后删除”，此时才出现“Backdoor.Gpigeon”的病毒名称提示，先前没有。等我重启后，再次查看了注册表，文件夹，进程等，没发现不妥后点开FreeStyle，依旧有同样的提示。我看了很多网页，也按照方法进行操作了，依旧无法解决，不知道问题究竟出在哪里，请高手指教。 2006-02-09 23:06:07
carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:	分享到：

carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:	发表于： 2006-02-09 16:54 \| 只看楼主短消息资料字号：小中大 2楼以下是我用hijackthis扫描后得到的日志，是1991zww扫描的。 HijackThis_zww汉化版扫描日志 V1.99.1 保存于 16:48:58, 日期 2006-2-9 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\Program Files\Rising\Rav\Ravmond.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE D:\FIREWALL\pfw.exe C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe C:\Program Files\Yahoo!\Assistant\yassistse.exe C:\Program Files\Rising\Rav\RavTask.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\WINDOWS\system32\DrvMon.exe D:\mmsk\mmsk.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE E:\download\HijackThis1991zww.exe R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\IEHelper\IEHelper_8160.dll O2 - BHO: TeachingHandler - {31EBA2E2-58B2-4980-9C41-F12F5F1422C5} - C:\WINDOWS\system32\TPHANDLE.dll O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yphtb.dll O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yangling.dll O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\QQ\QQIEHelper.dll O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll O4 - 启动项HKLM\\Run: [BluetoothAuthenticationAgent] 'rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - 启动项HKLM\\Run: [nwiz] 'nwiz.exe /install O4 - 启动项HKLM\\Run: [SoundMan] 'SOUNDMAN.EXE O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] D:\FIREWALL\pfw.exe O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe O4 - 启动项HKLM\\Run: [yassistse] "C:\Program Files\Yahoo!\Assistant\yassistse.exe" O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [mmsk] D:\mmsk\mmsk.exe O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Thunder\geturl.htm O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Thunder\getAllurl.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_05\bin\npjpi141_05.dll O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_05\bin\npjpi141_05.dll O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\浩方对战平台\GameClient.exe O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE O12 - IE插件，支持文件类型.pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/ O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{359AD389-9E92-4E36-A1F5-4604964E7D3E}: NameServer = 202.103.24.68,202.103.0.117 O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe O23 - NT 服务: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - NT 服务: Network System (Universal Disk Manager) - Unknown owner - C:\Program Files\Common Files\COMM\Network.exe (file missing)
carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:

carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:	发表于： 2006-02-09 17:13 \| 只看楼主短消息资料字号：小中大 3楼我已经将最后一个network.exe按照置顶的帖子删除了，注册表里的项也删除了，依旧会提示。搜索的时候并没有发现system32下有那个帖子里提到的文件名。苦恼中。。。。。。。。。。。。。。。。
carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:

酷→帅☆ 初生襁褓狮帖子:11 注册: 2006-01-02 来自:	发表于： 2006-02-09 18:13 \| 短消息资料字号：小中大 4楼用mmsk在安全模式下杀，把mmsk的病毒库更新至最新的
酷→帅☆ 初生襁褓狮帖子:11 注册: 2006-01-02 来自:

carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:	发表于： 2006-02-09 18:30 \| 只看楼主短消息资料字号：小中大 5楼好，我吃完饭试试看
carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:

long21 初生襁褓狮帖子:20 注册: 2006-02-09 来自:	发表于： 2006-02-09 19:41 \| 短消息资料字号：小中大 6楼我和你一样开机进入街头篮球监控就会提示有木马如果你找到好的解决方法加我QQ 235623842 一起讨论研究。
long21 初生襁褓狮帖子:20 注册: 2006-02-09 来自:

carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:	发表于： 2006-02-09 19:43 \| 只看楼主短消息资料字号：小中大 7楼哈哈，我刚刚在你的帖子里说了一样。同是天涯中毒人啊。买了正版的瑞星看来也不是万能的。
carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:

carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:	发表于： 2006-02-09 19:54 \| 只看楼主短消息资料字号：小中大 8楼真郁闷啊，这里没人能帮我吗？平时那么多高手都不在？
carbing 初生襁褓狮帖子:15 注册: 2006-02-09 来自:

圣言不败初生襁褓狮帖子:5 注册: 2006-02-09 来自:	发表于： 2006-02-09 23:06 \| 短消息资料字号：小中大 9楼 O23 - NT 服务: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe 从注册表中把这整个项删了
圣言不败初生襁褓狮帖子:5 注册: 2006-02-09 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT