瑞星卡卡安全论坛

1、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：mchInjDrv
2、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：virtual
3、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Services\
删除：mchInjDrv
4、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Services\
删除：virtual
5、重启系统。此时，灰鸽子创建的文件及文件夹已全部可见。删除C:\WINDOWS\Internet Explorer\文件夹中的所有文件，最后，删除这个文件夹。

附件: 15584720059195249.jpg

真厉害！

无语

引用:

【baohe的贴子】1、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除：mchInjDrv 2、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除：virtual 3、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Services\ 删除：mchInjDrv 4、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Services\ 删除：virtual 5、重启系统。此时，灰鸽子创建的文件及文件夹已全部可见。删除C:\WINDOWS\Internet Explorer\文件夹中的所有文件，最后，删除这个文件夹。 ...........................

版主，我只能展开第2个找到virtual 已经删除了，其它3个都找不到
重启系统后，已删除C:\WINDOWS\Iiternet Explorer\文件夹中的所有文件，及这个文件夹


现在用瑞星杀毒，还是发现两个病毒

Backdoor.Gpigeon.ej     
Backdoor.Gpigeon.hn

下一步我该怎么办，版主拜托您了！谢谢

【回复“蓝米”的帖子】
杀软报告的病毒文件名及其所在路径？

引用:

【baohe的贴子】【回复“蓝米”的帖子】 杀软报告的病毒文件名及其所在路径？ ...........................

D:\System Volume Information\_restore{CF2C2E3C-3529-45C2-AB0E-4750CDBCBC64}\RP39
A0018444.exe>>Setup.exe.bak



D:\System Volume Information\_restore{CF2C2E3C-3529-45C2-AB0E-4750CDBCBC64}\RP39
A0018438.exe>>pclxj.exe.bak

如果没有是不是就没有感染呀？？

引用:

【蓝米的贴子】 D:\System Volume Information\_restore{CF2C2E3C-3529-45C2-AB0E-4750CDBCBC64}\RP39 A0018444.exe>>Setup.exe.bak D:\System Volume Information\_restore{CF2C2E3C-3529-45C2-AB0E-4750CDBCBC64}\RP39 A0018438.exe>>pclxj.exe.bak ...........................

这是系统还原文件夹中的东东。请先关闭D盘的系统还原。然后，在安全模式下删除这个文件夹中的所有文件。

是不是杀灰鸽子都要在安全模式下进行呀？

哪个大哥帮帮忙，我家瑞星好象被病毒给干了．．．．无论如何都无法启动瑞星的主程序和瑞星的监控中心，重装瑞星也不行，，换装金山毒霸也启动不了，而且设置的开机见空也没了，桌面右下角的瑞星图标也不见了．．．．．
大家快来帮忙啊！～～～～～～～～～跪求解决方案！～～～

以下是日志
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\WINDOWS\system32\NTdhcp.exe
C:\Program Files\rising\Rfw\Rfw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Tencent\TT\TTraveler.exe
C:\WINDOWS\system32\DllHost.exe
F:\乱八七糟\杀毒比备\HijackThis.exe

O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\3721\Assist\Angling.dll (file missing)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll (file missing)
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Progra~1\Baidu\bar\BaiDuBar.dll (file missing)
O3 - Toolbar: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [!!QQKav] C:\Documents and Settings\y\桌面\qqkav.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [XTServiceUpdate] C:\Program Files\XintianNet\IEBAR\XTServiceUpdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\system32\Rundll32.exe nmgamex.dll,LiveProcess /aa
O4 - HKLM\..\Run: [Skip ping dash deaf] C:\Documents and Settings\All Users\Application Data\cake chin skip ping\eggsonce.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [Windows Update Manager] C:\WINDOWS\system32\WINLOG0N.EXE
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe
O4 - HKLM\..\Run: [ExFilter] Rundll32.exe "C:\PROGRA~1\CNNIC\Cdn\cdnspie.dll",ExecFilter solo
O4 - HKLM\..\Run: [rfw] C:\Program Files\rising\Rfw\Rfw.exe
O4 - HKLM\..\RunServices: [RavMon] C:\program files\rising\rav\RavMon.exe /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Kugoo] C:\Program Files\KuGoo\kugoo.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 使用网际快车下载 - D:\PROGRA~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://E:\新建文~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 收藏此页到ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - Extra context menu item: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 百度-搜索MP3 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度-搜索图片 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度-搜索新闻 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度-搜索歌词 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度-搜索网页 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度-搜索贴吧 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: 百度-词典搜索 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDU_DIC.HTM
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: 任远文件夹 - {0713E8D2-850A-101B-AFC0-4210102A8DA7} - C:\Program Files\RenYuan Soft\汉语宝典\RenYuannote.exe (file missing)
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\游戏\浩方对战平台\GameClient.exe
O9 - Extra button: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - C:\Program Files\sina\UC\UC.exe
O9 - Extra button: (no name) - {367E0A21-8601-4986-9C9A-153BF5ACA118} - (no file)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: QQKav - {55080AC5-8FAA-4C8E-9D8D-494FB1CC6277} - qqkav.exe (file missing)
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\新建文~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50CA6D88-2A33-49E8-A4DA-37EAE005F234}: NameServer = 202.98.0.68,202.93.80.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{50CA6D88-2A33-49E8-A4DA-37EAE005F234}: NameServer = 202.98.0.68,202.93.80.129
O23 - Service: hpdj3500 - Unknown owner - C:\DOCUME~1\y\LOCALS~1\Temp\hpdj3500.exe (file missing)
O23 - Service: IyPaOyy - Unknown owner - E:\System Volume Information\zTEzllwn.EXE (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

版主是不是
D:\System Volume Information\_restore{CF2C2E3C-3529-45C2-AB0E-4750CDBCBC64}\RP39
文件夹下的所有东东

引用:

【蓝米的贴子】版主是不是 D:\System Volume Information\_restore{CF2C2E3C-3529-45C2-AB0E-4750CDBCBC64}\RP39 文件夹下的所有东东 ...........................

对。我很讨厌WINDOWS XP的这个“系统还原”，简直就是个藏污纳垢之所！！

唉,灰鸽子太恐怖了,杀了又感染!今天是这个服务项,明天是那个服务项,有没有哪位高手可以堵住它的端口的,有没有万全之策呀??
我被它折腾了几个月了,今天早上服务器重启了三次

不错啊！好

baohe版主太谢谢您了！小弟得多多向您学习。

按你说的我关闭D盘的系统还原后，重新启动到安全模式下D:\System Volume Information\
文件夹下没有任何文件，文件夹空。

又重新启动后用瑞星杀毒没有发现病毒
好高兴呀。

小弟再次感谢版主，向您学习！

我家机器里发现了Backdoor.Gpigeon.oc这版本的，如何办？

有毒就杀呗

我中的是Backdoor.Gpigeon.oc 也要用这个方法吗？ 我在安全模式下删了windows目录下的Expolesr和Expolesrkey两个文件后再用瑞星就查不到病毒了

引用:

【shuaiwuque的贴子】我中的是Backdoor.Gpigeon.oc 也要用这个方法吗？ 我在安全模式下删了windows目录下的Expolesr和Expolesrkey两个文件后再用瑞星就查不到病毒了 ...........................

你中的是只老鸽子

为什么我的注册表里没有contorlset002,只有contorlset001 and contorlset003.是XP的版本问题,莫非饱和你的是SP1,我的是SP2

大家帮帮忙，我该怎么办啊？？？？？？？？？？？

附件: 574893200591180140.jpg

强烈鄙视灰鸽子的制造者

我中了Backdoor.Gpigeon.dq（是在瑞星实时监控发现的，可是我在瑞星病毒库却找不到，还是我看错了？）
病毒文件 C:\windows\3721_Hook.dll
我不清楚怎么处理
也找不到跟这个有关的文件（3721.exe 3721.dll ...)
就随便把3721_Hook.dll改为_Hook.tmp
放在C:\Documents and Settings\16300\Local Settings\Temp
（应该不会出什么问题吧。。。）
找不到你上面说的所删除的4个键值
然后用HijackThis找到了
O23 - Service: service(server) - ...... (忘记了）- C:\windows\3721.exe
我去注册表删除了(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\server\带有3721.exe的键值（也不知道是不是，我以前有装过3721）
接下去该怎么办？
是不是要去安全模式下删除这个文件？
还是要怎么办?
版主帮忙

引用:

【ikakataotao的贴子】我中了Backdoor.Gpigeon.dq（是在瑞星实时监控发现的，可是我在瑞星病毒库却找不到，还是我看错了？） 病毒文件 C:\windows\3721_Hook.dll 我不清楚怎么处理 也找不到跟这个有关的文件（3721.exe 3721.dll ...) 就随便把3721_Hook.dll改为_Hook.tmp 放在C:\Documents and Settings\16300\Local Settings\Temp （应该不会出什么问题吧。。。） 找不到你上面说的所删除的4个键值 然后用HijackThis找到了 O23 - Service: service(server) - ...... (忘记了）- C:\windows\3721.exe 我去注册表删除了(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\server\带有3721.exe的键值（也不知道是不是，我以前有装过3721） 接下去该怎么办？ 是不是要去安全模式下删除这个文件？ 还是要怎么办? 版主帮忙 ...........................

你这个是老鸽子。查杀见：http://forum.ikaka.com/topic.asp?board=28&artid=6202404

学习

我看了，是不是要先删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\server
server这整个数值文件夹？
（O23 - Service: service(server) - ...... (忘记了）- C:\windows\3721.exe）

引用:

【ikakataotao的贴子】我看了，是不是要先删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\server server这整个数值文件夹？ （O23 - Service: service(server) - ...... (忘记了）- C:\windows\3721.exe） ...........................

展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除server

删除了 现在该怎么办？
我发一下现在的日志:
Logfile of HijackThis v1.99.1
Scan saved at 21:12:13, on 2005-9-1
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
G:\HijackThis\HijackThis.exe

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - G:\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\Kingsoft\FASTAI~1\IEBand.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - G:\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - G:\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - G:\Tencent\QQ\SendMMS.htm
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: 卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\POWERW~1\IEPlugin.dll
O9 - Extra button: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\POWERW~1\XDictExB.dll
O9 - Extra button: 金山词霸 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\POWERW~1\IEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - G:\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - G:\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - G:\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - G:\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O16 - DPF: {817C90B5-1688-42BE-9044-58422DB088B2} (PortalCom R01) - http://218.104.128.244/PortalAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{029EE2C0-7DCF-4079-8308-859040EE1C1D}: NameServer = 210.53.31.2 218.104.128.106
O17 - HKLM\System\CS1\Services\Tcpip\..\{029EE2C0-7DCF-4079-8308-859040EE1C1D}: NameServer = 210.53.31.2 218.104.128.106
O17 - HKLM\System\CS2\Services\Tcpip\..\{029EE2C0-7DCF-4079-8308-859040EE1C1D}: NameServer = 210.53.31.2 218.104.128.106
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\POWERW~1\XDictExB.dll
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

引用:

【baohe的贴子】1、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除：mchInjDrv 2、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除：virtual 3、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Services\ 删除：mchInjDrv 4、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Services\ 删除：virtual 5、重启系统。此时，灰鸽子创建的文件及文件夹已全部可见。删除C:\WINDOWS\Internet Explorer\文件夹中的所有文件，最后，删除这个文件夹。 ...........................

怎么展开呀？我不会，5555555555555555555555

我机子机子中了鸽子,怎么也杀不掉,每次杀完重启又有了,按楼主的键值我只找到了2个mchInjDrv 另外2个没有找到,这是杀毒记录
Backdoor.Gpigeon.lb清除成功05-09-01 20:35手动扫描csrss.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:35手动扫描winlogon.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:35手动扫描services.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:35手动扫描lsass.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:35手动扫描svchost.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:35手动扫描svchost.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:35手动扫描svchost.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:35手动扫描svchost.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描svchost.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描spoolsv.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描Explorer.EXE>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描DKService.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描inetinfo.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描KXAgentS.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描MDM.EXE>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描Rundll32.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描IEXPLORE.EXE>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描nvsvc32.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描CCENTER.EXE>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描SMax4PNP.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描Smax4.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描RAVTIMER.EXE>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描RAVMON.EXE>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描Dragdiag.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描VM_STI.EXE>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描Ravmond.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描SOUNDMAN.EXE>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描SMAgent.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描ctfmon.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描svchost.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描RavStub.exe>>C:\WINDOWS\Server_Hook.DLL本机
Backdoor.Gpigeon.lb清除成功05-09-01 20:36手动扫描wdfmgr.exe>>C:\WINDOWS\Server_Hook.DLL本机
不知道怎么才能杀掉啊 谢谢了