瑞星卡卡安全论坛

是不是中了鸽子了 啊 
斑竹来看看啊！！！！！！！！！
急！急！急！瑞星开始可以查到但现在查都查不到了....后来用江民在线查却有病毒啊
怎么  搞啊！！！！！！！！！！！！！！！！！
HijackThis_815汉化版扫描日志 V1.99.1
保存于      15:16:26, 日期 2005-8-20
操作系统：  Windows 2000 SP3 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ctfmon.exe
D:\瑞星杀毒2004\rav\RavMon.exe
C:\WINNT\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
E:\新建文件夹\4842302005817230232\HijackThis1991zww.exe

O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\3721\Assist\Angling.dll
O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - C:\WINNT\system32\gogobm.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - IE工具栏增项: IE伴郎 - {B225B89D-5E95-4194-98E8-149993071B31} - C:\PROGRA~1\NETMEE~1\CALLCO~1.DLL
O4 - 启动项HKLM\\Run: [advapi32] RUNDLL32 C:\WINNT\Downlo~1\_IS_0518\_IS_ISC.DLL,isc
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [RavTimer] D:\瑞星杀~1\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\瑞星杀~1\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [AsShell] "C:\Program Files\3721\assist\AsShell.exe"
O4 - 启动项HKLM\\RunOnce: [ 3721AutoRepair] C:\WINNT\system32\rundll32.exe C:\PROGRA~1\3721\assist\repair.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RuunServices:[services] C:\WINNT\services.exe
O4 - HKCU\..\RuunServices:[l] C:\WINDOWS\l.exe
O4 - HKCU\..\RuunServices:[xcslvkl] C:\Program Files\xcslvkl.exe
O4 - HKCU\..\RuunServices:[xhyvyw] C:\WINNT\xhyvyw.exe
O4 - Startup: 迅雷4.lnk = D:\Thunder\Thunder.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: 江民在线杀毒 - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://club.jiangmin.com/kvscan/KvOnline.asp (file missing)
O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\cdnns.dll
O16 - DPF: {EF6205C1-3F17-4829-BCB5-1336ED89E356} (KvScanOnline Control) - http://club.jiangmin.com/kvscan/KvDown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34C03F35-B171-4709-9255-C498F6C70CEB}: NameServer = 218.76.138.66,218.76.138.90
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: GhostStartService - Symantec Corporation - D:\GhostStartService.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\瑞星杀毒2004\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星杀毒2004\RAV\Ravmond.exe
O23 - NT 服务: SDAgent Service (SDAgentService) - smartdove - C:\Program Files\Common Files\SDAgent\smartda.exe



附件: 5666902005820212608.jpg

大虾们来顶顶啊！！！！！！！！！！！

病毒名是什么？

O4 - HKCU\..\RuunServices:[l] C:\WINDOWS\l.exe
这是什么？可疑啊

楼上两个大哥，这项是什么？
O23 - NT 服务: GhostStartService - Symantec Corporation - D:\GhostStartService.exe
我觉得这个好像是鸽子！
O4 - HKCU\..\RuunServices:[l] C:\WINDOWS\l.exe这项90%有问题！

查到是Backdoor.Gpigeon.lb病毒..各位大哥.....在顶顶

引用:

【独孤豪侠的贴子】楼上两个大哥，这项是什么？ O23 - NT 服务: GhostStartService - Symantec Corporation - D:\GhostStartService.exe 我觉得这个好像是鸽子！ O4 - HKCU\..\RuunServices:[l] C:\WINDOWS\l.exe这项90%有问题！ ...........................

灰鸽子的服务文件是在系统文件夹里的。。。。。那个是D:\.........

【回复“5652652”的帖子】

建议,修复O4 - HKCU\..\RuunServices:[services] C:\WINNT\services.exe
O4 - HKCU\..\RuunServices:[l] C:\WINDOWS\l.exe


安全模式下,删除
C:\WINNT\NOTEPAD.EXE
C:\WINNT\services.exe
C:\WINDOWS\l.exe

另O4 - HKCU\..\RuunServices:[xcslvkl] C:\Program Files\xcslvkl.exe
O4 - HKCU\..\RuunServices:[xhyvyw] C:\WINNT\xhyvyw.exe
这两个不知道是什么东东,楼主自己看着办

从你的日志上看不出有灰鸽子的服务,可能不是2005的

在来顶顶啊！！

1.修复：
O4 - HKCU\..\RuunServices:[services] C:\WINNT\services.exe
O4 - HKCU\..\RuunServices:[l] C:\WINDOWS\l.exe
O4 - HKCU\..\RuunServices:[xcslvkl] C:\Program Files\xcslvkl.exe
O4 - HKCU\..\RuunServices:[xhyvyw] C:\WINNT\xhyvyw.exe
并将对应文件在安全模式下全部删除。

2.O4 - 启动项HKLM\\Run: [advapi32] RUNDLL32 C:\WINNT\Downlo~1\_IS_0518\_IS_ISC.DLL,isc的问题

删除的有：
C:\_IS_*.*
%ProgramFiles%\ISC\目录
%Windows%\backup\目录
%Windows%\Downloaded Program Files\_IS_*.*
%Windows%\Downloaded Program Files\_IS_0518\目录
%System%\msuuid_.dll
%System%\msvendr_.dll
进行删除之前可以先运行一下%ProgramFiles%\ISC\Uninstall.exe，“卸载”掉一些东西（%ProgramFiles%\ISC\目录和“开始”>>“程序”里的ISC信息）。

如果要保险一点，可以再运行一下 Del_0518.reg（附件） 导入注册表，删除ISC产生的一些信息和启动项。
另外，进入安全模式也可以删除那些_IS_*文件。

3.最后一个O23项，smartda.exe的问题，最好还是把它给修复掉。

附件: 2535952005820215454.zip

Blaster Rpc exp  各位这个漏洞是什么造成的？~请指教~