瑞星卡卡安全论坛

我在安全模式下用最新版本的瑞星杀毒找不到啊

大家帮忙啊，小弟跪求

什么情况下发现这种情况的?

我把扫描日志发出来给大家看啊


Scan saved at 21:15:39 上午, on 2005-8-8
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\LLJAgent\KXAgentS.exe
C:\Program Files\SteelBytes\PortTunnel\PortTunnel.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.exe
C:\WINDOWS\system32\BCUP.exe
C:\PROGRA~1\3721\assistse.exe
C:\Program Files\Common Files\Totem Shared\Uninstall0001\upd.exe
C:\Program Files\PCGDownloader\PCGDownloader.exe
C:\WINDOWS\system32\NTdhcp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\download\HijackThis(1)\HijackThis\HijackThis.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: EyeOnBrowser Class - {1272F701-349D-4DB3-BBCD-10CBDCD049FE} - C:\WINDOWS\Downlo~1\_IS_0518\_IS_WEBH.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\3721\Assist\Angling.dll
O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINDOWS\system32\NaviHelper.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - F:\Tencent\qq\QQIEHelper.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\qylhelper.dll
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\Sbhoplin.dll
O3 - Toolbar: 博采 - {4DA2EE61-6399-4C39-AEB9-0D990E610D29} - C:\WINDOWS\system32\BOCAIT~1.DLL
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O3 - Toolbar: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O4 - HKLM\..\Run: [StormCodec_Helper] ; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [SKYNET Personal FireWall] ; C:\Program Files\SkyNet\FireWall\pfw.exe
O4 - HKLM\..\Run: [迅雷4] ; C:\Program Files\Sandai Technologies Inc\Thunder\TDUpdate.exe
O4 - HKLM\..\Run: [advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_0518\_IS_ISC.DLL,isc
O4 - HKLM\..\Run: [BCUpdate] C:\WINDOWS\system32\BCUP.exe
O4 - HKLM\..\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - HKLM\..\Run: [Uninstall0001] "C:\Program Files\Common Files\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.stripsaver.com!StatsStripSaver
O4 - HKLM\..\Run: [MINI_PCGAMES] C:\Program Files\PCGDownloader\PCGDownloader.exe
O4 - HKLM\..\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Kugoo] ; C:\PROGRA~1\KuGoo2\KuGoo.exe
O4 - Global Startup: 桌面传媒.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &使用PCgames下载器下载 - C:\Program Files\PCGDownloader\geturl.htm
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Sandai Technologies Inc\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Sandai Technologies Inc\Thunder\getAllurl.htm
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\超级BT下载软件\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: 使用Kugoo下载 - C:\PROGRA~1\KuGoo2\KugooDownX.htm
O8 - Extra context menu item: 使用超级解霸播放 - C:\Program Files\Herosoft\Hero 9\MPURLGET.HTM
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\Tencent\qq\SendMMS.htm
O8 - Extra context menu item: 百度-搜索MP3 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度-搜索图片 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度-搜索新闻 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度-搜索歌词 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度-搜索网页 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度-搜索贴吧 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: 百度-词典搜索 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDU_DIC.HTM
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\Program Files\浩方对战平台\GameClient.exe
O9 - Extra 'Tools' menuitem: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\Program Files\浩方对战平台\GameClient.exe
O9 - Extra button: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra 'Tools' menuitem: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Tencent\qq\QQ.EXE
O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Tencent\qq\QQ.EXE
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra button: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Tencent\qq\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Tencent\qq\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {7A38130D-BEB7-4D60-BE7A-4C4AB6A85CD1} - http://bar.souhuu.com/vcbar1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C7896A-964A-4505-943E-C5E77C0B8BE1}: NameServer = 202.99.96.68 202.99.64.69
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Gray_Pigeon_Server - Unknown - C:\WINDOWS\G_Server.exe
O23 - Service: KXAgent Service - SmartDove - C:\Program Files\LLJAgent\KXAgentS.exe
O23 - Service: PortTunnel - Unknown - C:\Program Files\SteelBytes\PortTunnel\PortTunnel.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: winser - Unknown - C:\WINDOWS\winser.exe (file missing)

我从网上下了一个小的文件，就是在贪婪大陆上下的压缩文件，当我解压后，瑞星监控就不见了．然后我再启动瑞星主程序的时候就马上被自动关闭，请问是怎么了？斑竹帮忙啊

就是在下午６点多的时候，我在网上听说有一个病毒可以自动关闭杀毒软件的，但具体名称不清楚

而且现在电脑的速度变的有些慢，经常死机，这在原来是没有这种情况的

O23 - Service: Gray_Pigeon_Server - Unknown - C:\WINDOWS\G_Server.exe
O23 - Service: winser - Unknown - C:\WINDOWS\winser.exe (file missing)
这里有问题请看关于查杀“灰鸽子2005”的一点建议
http://forum.ikaka.com/topic.asp?board=28&artid=6202404

谢谢大哥，我先去看看

O4 - HKLM\..\Run: [advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_0518\_IS_ISC.DLL,isc
O4 - HKLM\..\Run: [BCUpdate] C:\WINDOWS\system32\BCUP.exe
O4 - HKLM\..\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe
O23 - Service: Gray_Pigeon_Server - Unknown - C:\WINDOWS\G_Server.exe
O23 - Service: winser - Unknown - C:\WINDOWS\winser.exe (file missing)

彼此彼此 我也是菜鸟，只不过碰巧前两天也遇到像你说的情况。又碰巧看了baohe老大发的帖子，呵呵。

大哥们，小弟是菜鸟，请问具体怎么办啊，我的杀毒软件启动不了，谢谢了

刚才又死机了，请大家能把详细的清毒做法告诉我吗，谢谢了

个人建议,仅供参考:
一、先解决BCUP.exe的问题
1.关闭所有IE。
2.使用任务管理器删除BCUP.exe进程。
3.打开运行，执行regsvr32 -u c:系统目录BoCaiToolBar.dll
4.进入系统目录。
（win2000:\winnt\system32）
（win98：\windows\system）
删除BCUP.exe,删除BoCaiToolBar.DLL
5.打开注册表编辑器
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BCUpdate
删除HKEY_LOCAL_MACHINE\SOFTWARE\BlogChinaBC]

二、解决灰鸽子的问题
1.在服务中停止Gray_Pigeon_Server、winser服务
2.修复：
O23 - Service: Gray_Pigeon_Server - Unknown - C:\WINDOWS\G_Server.exe
O23 - Service: winser - Unknown - C:\WINDOWS\winser.exe (file missing)
3.进入安全模式，删除以下可能存在的文件：
C:\WINDOWS\G_Server.exe
C:\WINDOWS\G_Server.dll
C:\WINDOWS\G_Server_Hook.dll
C:\WINDOWS\winser.exe
C:\WINDOWS\winser.dll
C:\WINDOWS\winser_hook.dll

三、O4 - HKLM\..\Run: [advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_0518\_IS_ISC.DLL,isc的问题（金山海色管理员的方法）
1. 断开网络，关闭所有浏览器窗口，退出/关闭可以退出/关闭的应用程序（因为其文件_IS_*.DLL可能会插入在其它进程中）
2. 结束掉Rundll32.exe进程（调用_IS_ISC.DLL）
3. 结束掉Explorer.exe进程（在Explorer.exe进程里也插入了几个_IS_*.DLL文件，其中就有进程保护的DLL。另，结束掉Explorer.exe进程后，桌面、任务栏会丢失）
以上步骤是为了尽量使那些_IS_*.DLL文件没有被调用，如果你对系统熟悉也可不用这样操作，只要确定当前没有_IS_*.DLL文件被调用即可。
4. 把Explorer.exe进程再运行起来（恢复桌面、任务栏。也可以先进行第5步删除相关文件）
5. 删除%Windows%\Downloaded Program Files\目录下面所有_IS_*.*文件（可以使用WinRAR，WinRAR也是一个文件浏览器用它可以浏览到一般不能直接查看的Downloaded Program Files\目录下的文件，用WinRAR找到那些_IS_*.*，删除掉），再删除%Windows%\backup\目录
6. 双击导入 DEL_isc.rar 中的REG文件(附件中），作用是删除那些东西在注册表里留下的启动项和其它信息

四、其他问题：
1.终止进程：
C:\WINDOWS\system32\NTdhcp.exe
2.修复：
O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINDOWS\system32\NaviHelper.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\qylhelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)
O4 - HKLM\..\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll

3.删除：
C:\WINDOWS\system32\NTdhcp.exe
C:\WINDOWS\system32\NaviHelper.dll
C:\WINDOWS\system32\hap.dll
C:\WINDOWS\system32\winhtp.dll
C:\WINDOWS\system32\qylhelper.dll
C:\WINDOWS\system32\mbprot.dll




附件: 253595200588214235.rar

大哥们帮忙啊，我一直再等着呢

好，谢谢，我先试试