这两天又中招了，用瑞星杀毒又查不出来，不接通网络时，老提示说有程序要访问“79559.huigezi.org”或者是“vip.huigezi.com”，学着论坛上的帖子清除了半天，暂时没发现还有余孽，可在防火墙的“网络活动”里面看到了4个叫“svchost.exe”的进程，前面知道这个进程是什么加载列表，容许出现多个同名的进程，随手点开进程前面的几个“+”号，却让我吓了一跳，在第3个“svchost.exe”（开关了几次机子，都是排在第3位）的“UDP”里面赫然写着“灰鸽子”.我是个菜鸟，不过我也知道灰鸽子可不是个好玩的东西，手边又只有我一台机子，在这里请教下大家，这样是正常的么？

不会把那里显示的信息直接拷贝下来，用手写吧...很可能有个别字母的错误

前几行略去~

- svchost.exe [PID=900]，C:\WINDOWS\SYSTEM32\svchost.exe
      Cmdline = C:\WINDOWS\SYSTEM32\svchost.exe -K NetworkService
  -  UDP
          Local 0.0.0.0:1027[灰鸽子]
          Local 0.0.0.0:3009
- svchost.exe [PID=924]，C:\WINDOWS\SYSTEM32\svchost.exe
      Cmdline = C:\WINDOWS\SYSTEM32\svchost.exe -K LocalService
  -  TCP
          Local 0.0.0.0:5000[Sokets-de木马]
下略~

这就是我的防火墙里4个svchost.exe 的第3，4个连续几行的信息，中间的几个图标我实在打不上来，这里显示的究竟是被病毒感染还是针对灰鸽子和这个什么木马的封堵？请教各位了


刚退了网，点了我的E驱，机子忙了一下，就又出现了“您（或者是您的一个程序）从******请求信息，要求联机”......

又扫描了下，实在看不出来有什么不妥...请帮忙看下

Logfile of HijackThis v1.99.1
Scan saved at 2:46:38, on 2005-8-18
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

运行进程:           
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rfw\RfwMain.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\FarStone\VirtualDrive\Netsrv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\常用工具\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Virtual Drive] "C:\Program Files\FarStone\VirtualDrive\vdtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{996EBC7F-66EE-4370-9FC7-5C4F86B028C7}: NameServer = 202.100.4.15 61.134.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{B128017B-3044-47C8-9568-9BB1DC03D85B}: NameServer = 202.100.4.15,61.134.1.4

看来晚上不要发帖..都没人看的...再顶下吧

昨天一冲动把系统已经从做了...现在的防火墙里面也查不到什么[灰鸽子]了,难道是要感染一次才有专门的提示?

LOG是全的~我..下手比较重,有可疑的就修,不常用的也修不知道是不是我下的HIJACKTHIS有问题,好象没有扫描出来过23项,要说LOG不全,因为知道是有BUG,所以我没有多点一遍,去扫描那个018项而已.