瑞星卡卡安全论坛

和樵子一样，我也用了上面教的办法，我也只搜到了有mag_Hook.dll文件，也没有另外的两个，怎么样才能把这个可恶的灰鸽子弄掉呢？请楼主赐教！不胜感激！！！1

瑞星在安全模式或DOS下都检不出我中的“灰鸽子”。
我最后只能用手工清除才行。失望！

【回复“玲珑心”的帖子】拜托，你没中，MAG_HOOK.DLL是正常文件啊，要活学活用啊

顶

学习了,谢谢楼主了~~~~~~~~~~~~~~``

靠。
中了灰鸽子了。
那个王八蛋竟然把鸽子文件定成system_hook.dll,system.exe,system.dll。害惨我了，一气之下，全删了。

可是，还有另外两个文件：system,system.ini,system.log是什么啊。建立日期是中病毒的日子。没敢删。

好东西 建议置顶

是不是查杀的systemp.exe？在windows中的systemp.exe、systemp.dll等删除（共三个文件，在一起）即可，多半是它在作怪，删除这几个文件好象就没我问题了

如果每次开机还有提示清除BackDoor.*病毒，说明还有病毒，请看查杀的中毒文件几病毒，提示*_hook.dll病毒，则在widnows目录下搜索*.exe，*.dll和*.hlp（此处的*号代表病毒*_hook.dll处的*，即文件名）并删除之即可

楼主,我的爱机中了QQ盗号木马
瑞星实时监控打不开
有什么办法可以解决吗?

好

请问楼主，我的机器中了灰鸽子BackDoor.Huigezi.dq，但怎么也杀不掉。手工也找不到。每次开机防火墙都显示：IEXPLORE.EXE>>C:\WINNT\system32.DLL ->BackDoor.Huigezi.dq，Explorer.EXE>>C:\WINNT\system32_Hook.DLL ->BackDoor.Huigezi.dq，inetinfo.exe>>C:\WINNT\system32_Hook.DLL ->BackDoor.Huigezi.dq，还有svchost.exe， WinMgmt.exe，stisvc.exe，RavStub.exe，MSTask.exe，Ravmond.exe，CCENTER.EXE，regsvc.exe都是这种情况，我的系统是windows2000NT,请楼主帮助！！！

Logfile of HijackThis v1.99.1
Scan saved at 9:40:54, on 2005-8-30
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\rising\Rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
e:\Oracle\Ora81\BIN\TNSLSNR.exe
e:\oracle\ora81\bin\ORACLE.EXE
e:\Oracle\Ora81\BIN\OWASTSVR.EXE
C:\WINNT\system32\regsvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Program Files\rising\Rfw\RfwMain.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\Ringz Studio\Storm Downloader\TDUpdate.exe
C:\WINNT\explorer.exe
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\TIMPlatform.exe
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\conime.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rav\RAVMON.EXE
E:\下载\559373200583090754\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\System32\xunleibho_v4.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\3721\Assist\Angling.dll
O2 - BHO: DDDMon Class - {6BDE1669-B490-48E3-B668-456314F2D6C3} - C:\Program Files\mini ddd\dddiemon.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: YiSou - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\YiSou\yisoub.dll
O3 - Toolbar: 博采 - {4DA2EE61-6399-4C39-AEB9-0D990E610D29} - C:\WINNT\System32\BOCAIT~1.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\PROGRA~1\YiSou\yisou.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\rising\Rfw\rfwmain.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [helper.dll] C:\WINNT\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [MINI_BFYY] C:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [AutoInsQyule] rem C:\Program Files\Qyule\QyuleInstall.exe
O8 - Extra context menu item: !搜一搜(&S) - res://C:\PROGRA~1\YiSou\yisou.dll/232
O8 - Extra context menu item: &使用DuDu加速器下载 - res://C:\Program Files\mini ddd\dddmext.dll/202
O8 - Extra context menu item: &使用暴风下载器下载 - C:\Program Files\Ringz Studio\Storm Downloader\geturl.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\qq\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_3721_assist (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: 易趣购物 - {DE607149-AC19-429e-862A-2D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE607149-AC19-429e-862A-2D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://origin-www.ahn.com.cn/aspservice/plugin/myv3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124865469625
O16 - DPF: {D0A29C6C-AA71-4423-8C4A-5998B774C448} (IEDown Class) - http://download.ourgame.com/IEDown4.cab
O16 - DPF: {EF9F1C48-1A63-495A-9317-B7B71B34A9CF} (Msp Class) - http://ddddl.dudu.com/ddd/update/plugin/dudumsp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9EBB90D-99B2-4890-B9CE-B12319C6EF29}: NameServer = 192.168.1.100
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OracleOraHome81Agent - oracle - e:\Oracle\Ora81\bin\dbsnmp.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - e:\Oracle\Ora81\BIN\ONRSD.EXE
O23 - Service: OracleOraHome81DataGatherer - Unknown owner - e:\Oracle\Ora81\bin\vppdc.exe
O23 - Service: OracleOraHome81ManagementServer - Unknown owner - e:\Oracle\Ora81\bin\OMSNTsrv.exe
O23 - Service: OracleOraHome81TNSListener - Unknown owner - e:\Oracle\Ora81\BIN\TNSLSNR.exe
O23 - Service: OracleServiceTJYC03 - Oracle Corporation - e:\oracle\ora81\bin\ORACLE.EXE
O23 - Service: OracleWebAssistant0 - Oracle Corporation - e:\Oracle\Ora81\BIN\OWASTSVR.EXE
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: system32.exe - Unknown owner - C:\WINNT\system32.exe

【回复“杨拆”的帖子】
查找并删除C:\WINNT\system32.exe和C:\WINNT\system32.dll

按楼主介绍的方法查查看我的机子是否有灰鸽子先~~

按楼主介绍的方法查查看我的机子是否有灰鸽子先~~

我的机子按着这个方法去查，没有结果，但是瑞星提示有这个病毒，于是我就手动在系统里注册表里找。
在注册表
搜索到huigezi的数据，还有MC的数据。

【回复“HSCLS”的帖子】
不仅仅是MC25，我的机子上随着手动杀度，还有MC22，MC23，MC24的文件是病毒，都是灰鸽子，都在WINDOWS/TEMP里面的。但是你去找有找不到，让瑞星删除，重复几次后，瑞星直接忽略了。
我就在注册表里找到都删除了，但是我还是怀疑没有删除干净。

由于我也深受灰鸽子病毒这害，所以在成功杀除这后跟大家分享下经验。我也是第次开机提示病毒清除成功，但单每次开机还是有，而按楼主的方法又搜不到*_hook.dll文件，就和第28楼樵子 第30楼
玲珑心 遇到的问题一样，后来看了论坛之后，又经过回忆才明白是由于瑞星已经把该文件删除了，但是它没能删除*.exe *.dll文件才会造成每次开机还提示有病毒。这是就查询瑞星的杀毒记录看它删除的什么*_hool.dll，再搜索以*开头的文件并删除掉，就OK了。

好帖呀！

顶！！

昨天回家把灰鸽子干掉了，谢谢了！

强-------------
我中了灰鸽子，上网找杀的方法找了很久，都不太好。后来找到这里来了，一看，好文章！！！！！一试----------杀了！！！！
哈哈哈哈！！！！
好文章啊-----建议置顶-------

引用:

【逸尘的贴子】如果每次开机还有提示清除BackDoor.*病毒，说明还有病毒，请看查杀的中毒文件几病毒，提示*_hook.dll病毒，则在widnows目录下搜索*.exe，*.dll和*.hlp（此处的*号代表病毒*_hook.dll处的*，即文件名）并删除之即可 ...........................

每次开机系统进程里面都有IEXPLORE.EXE 用瑞星手动杀毒都每次提示成功清除病毒IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE ->Backdoor.Gpigeon.5.an.重启以后还是出现.但是在你说的widnows目录下搜索*.exe，*.dll和*.hlp（此处的*号代表病毒*_hook.dll处的*，即文件名）只找到这个map_Hook.dll.难道我的电脑没有病毒,还是瑞星误报. 在安全模式下检查所有文件没有发现病毒.
在百度搜索了一下发现好几个方法可是还是不能删除 下面是搜到的方法:
http://spaces.msn.com/members/tonnyluo/Blog/cns!1pAwX1qcWiOLNGA0u4tZlNJg!109.entry
这个是灰鸽子主页手工清楚方法
http://www.huigezi.net/faq/cls/vip2005/index.htm
用了他们的灰鸽子清除器还是没法解决



附件: 575881200593162618.bmp

不过还是顶顶～！

不知行不行，没有试过。不过还是顶一下，与灰鸽子斗争是一项长期的任务。

方法用过了哟,找不到啊,但一启动瑞星发现病毒,自动杀了下次又是一样的哟

我打不开呀

【回复“HUIX”的帖子】我到现在也找不到那个文件*_hook.dll，确实我的瑞星是把这个灰鸽子杀掉了，但是我的防火墙却提示扔然有这个木马，我都要烦死了，试过N种方法了，可能是我太菜了。到现在还没有把它弄掉。

顶~~~好帖