瑞星卡卡安全论坛

各位大哥哥大姐姐快帮我看看那个是灰鸽子吧！
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\syss
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - D:\程序\瑞星\Rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\程序\瑞星\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\程序\瑞星\RAV\Ravmond.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\syss

晕，那么明显......第一个就是.....

羡慕啊 ，一看就看出来了 ...
我的机器里面的 ，....... 眼睛都找掉出来了.....
还是找不到.......

这个是俺的：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      21:16:15, 日期 2005-11-6
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\TOOL\瑞星\RAV\Ravmond.exe
d:\tool\瑞星\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
D:\TOOL\瑞星\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
d:\tool\瑞星\rising\rfw\RfwMain.exe
D:\TOOL\瑞星\RAV\RAVMON.EXE
D:\TOOL\瑞星\RAV\RAVTIMER.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\tool\TAUSCA~1.7\taumon.exe
D:\tool\TrojanHunter 4.1\THGuard.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\tool\winamp\WINAMP.EXE
E:\暂时\4842302005817230232\HijackThis1991zww.exe

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINNT\DOWNLO~1\BDSrHook.dll
O2 - BHO: (no name) - {0C7C23EF-A848-485B-873C-0ED954731014} - (no file)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\tool\QQ\QQIEHelper.dll
O2 - BHO: BDHlprObj Class - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - C:\WINNT\DOWNLO~1\BDHelper.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [Soltek] C:\WINNT\System32\autorun.exe
O4 - 启动项HKLM\\Run: [RavMon] D:\TOOL\瑞星\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "D:\tool\瑞星\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTimer] D:\TOOL\瑞星\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [Tau Monitor] D:\tool\TAUSCA~1.7\taumon.exe
O4 - 启动项HKLM\\Run: [THGuard] "D:\tool\TrojanHunter 4.1\THGuard.exe"
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\tool\Microsoft Office\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\tool\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\tool\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\tool\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\tool\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方\HF3.0\GAMECL~1.EXE
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\tool\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\tool\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\tool\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\tool\QQ\QQIEHelper.dll
O11 - Options group: [TBH]  QQ地址栏搜索插件
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131121515293
O17 - HKLM\System\CCS\Services\Tcpip\..\{492A9034-291C-40B8-9376-6ACDA4075166}: NameServer = 202.96.209.133,202.96.209.5
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\tool\瑞星\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\TOOL\瑞星\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\TOOL\瑞星\RAV\Ravmond.exe

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINNT\DOWNLO~1\BDSrHook.dll
是什么啊

我也看这个玩意象，但是和斑竹们说的灰鸽子的路径不一样啊，所以我不敢动啊，但是我的瑞星监控确实提示Backdoor.GPigeon 啊......

引用:

【烦烦烦烦还烦的贴子】我也看这个玩意象，但是和斑竹们说的灰鸽子的路径不一样啊，所以我不敢动啊，但是我的瑞星监控确实提示Backdoor.GPigeon 啊...... ...........................

5楼说是应该是百度的东西．
瑞星的提示是什么？

我的瑞星提示：
手动扫描：worm.mail.fanbot
文件:Explorer.exe>>c:winnt\Explorer.exe,清除成功，但是开机后又来了........
然后：实时监控：Backdoor.Gpigeon
路径：C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp

【回复“烦烦烦烦还烦”的帖子】
清空IE临时文件夹。

我现在已经按照高人“神无 ”的教导：删除了临时文件，希望以后没有了....但是不好意思我还有另一个问题啊：这个灰鸽子，为了彻底结果它，我昨天重新装了系统了又原来的xp换成了今天的2000，c盘格过了啊..... 怎么今天它又回来？？？

多谢各位大哥指点，小弟这里谢过了！

俺又回来了....重启后，昨日重现了........

引用:

【烦烦烦烦还烦的贴子】我的瑞星提示： 手动扫描：worm.mail.fanbot 文件:Explorer.exe>>c:winnt\Explorer.exe,清除成功，但是开机后又来了........ 然后：实时监控：Backdoor.Gpigeon 路径：C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp ...........................

用IceSword直接找到这个文件删除~~~
C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp

使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178

然后再杀次毒看看~~

引用:

【影子110的贴子】 用IceSword直接找到这个文件删除~~~ C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp 使用IceSword杀毒的一些基本操作 http://forum.ikaka.com/topic.asp?board=28&artid=7168178 然后再杀次毒看看~~ ...........................

俺又，又回来了.....
这个玩意根本就找不到啊......

不过我用ICESWORD 找到了下面这些，不知道是不是的，可以删掉么？

附件: 6140642005117214334.bmp

Temp 里的内容可以直接清空

忘记补充了，这个就是我昨天扫描日志里面的这个：R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINNT\DOWNLO~1\BDSrHook.dll

我今天开机就先打开工具-Internet 选项，-Internet临时文件夹-清空COOKIES，然后删除文件.....
现在重启后还是有.......

介绍杀“灰鸽子”的网址：http://www.ttian.net/website/2005/0714/109.html
自动杀“灰鸽子”的工具（点网址文章里的“点击这里下载”）：
如果你没有兴趣读下面的文章，请直接下载灰鸽子工作室官方提供的清除器使用：点击这里下载  MD5：8e7a9211bfa3d81b470de8839b51c374
  我当时杀“灰鸽子”是用的清除器。手动的杀对不上号。



（我今天用升级的瑞星杀了 Worm.Drefir.e 病毒，比较高兴。这病毒存在有2个月了，
其它杀毒软件早就可以杀了，祝贺瑞星也可以杀了。）

昨日瑞星升级到52，俺下载后，进入安全模式杀毒到1点30，总共花了俺2个小时，结果提示未发现病毒.......随后正常启动，手动扫描........ 昨日重现........

手动扫描：worm.mail.fanbot
文件:Explorer.exe>>c:winnt\Explorer.exe,清除成功，但是开机后又来了........
然后：实时监控：Backdoor.Gpigeon
路径：C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp
昨天想用ICESWORD 直接删：mc23.tmp ，可是发现找不到这个东西..........


昨天晚上梦见灰鸽子满天飞..........................