瑞星卡卡安全论坛

手动扫描：worm.mail.fanbot
文件:Explorer.exe>>c:winnt\Explorer.exe,清除成功，
然后：实时监控：Backdoor.Gpigeon
路径：C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp
忽略......
确认灰鸽子....

扫描日志：
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:35:11, 日期 2005-11-8
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\TOOL\瑞星\RAV\Ravmond.exe
d:\tool\瑞星\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
D:\TOOL\瑞星\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
d:\tool\瑞星\rising\rfw\RfwMain.exe
D:\TOOL\瑞星\RAV\RAVMON.EXE
D:\TOOL\瑞星\RAV\RAVTIMER.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\tool\TrojanHunter 4.1\THGuard.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
D:\TOOL\瑞星\RAV\RsAgent.exe
C:\WINNT\msagent\AgentSvr.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\暂时\2535952005811174944\HijackThis1991zww.exe

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINNT\DOWNLO~1\BDSrHook.dll
O2 - BHO: (no name) - {0C7C23EF-A848-485B-873C-0ED954731014} - (no file)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\tool\QQ\QQIEHelper.dll
O2 - BHO: BDHlprObj Class - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - C:\WINNT\DOWNLO~1\BDHelper.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [Soltek] C:\WINNT\System32\autorun.exe
O4 - 启动项HKLM\\Run: [RavMon] D:\TOOL\瑞星\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "D:\tool\瑞星\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTimer] D:\TOOL\瑞星\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [Tau Monitor] D:\tool\TAUSCA~1.7\taumon.exe
O4 - 启动项HKLM\\Run: [THGuard] "D:\tool\TrojanHunter 4.1\THGuard.exe"
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\tool\Microsoft Office\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\tool\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\tool\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\tool\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\tool\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方\HF3.0\GAMECL~1.EXE
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\tool\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\tool\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\tool\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\tool\QQ\QQIEHelper.dll
O11 - Options group: [TBH]  QQ地址栏搜索插件
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131121515293
O17 - HKLM\System\CCS\Services\Tcpip\..\{492A9034-291C-40B8-9376-6ACDA4075166}: NameServer = 202.96.209.133,202.96.209.5
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\tool\瑞星\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\TOOL\瑞星\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\TOOL\瑞星\RAV\Ravmond.exe


怎么没有？？？
正版瑞星更新到最新17.52.01 切换安全模式.历时2小时13分查出病毒：0
重启：
手动扫描：worm.mail.fanbot
文件:Explorer.exe>>c:winnt\Explorer.exe,清除成功.......（当即晕死.......）
灰鸽子......你到底在哪里.哪里，哪里.........

不能气馁：
清空临时文件加 AND cookies，
切换安全模式，设置文件夹选项“显示受保护系统文件夹”and 显示隐藏文件，找_hook.dll.....
找到:mag_hook.dll。但是在c：\wint\system\.并不在c：\wint，应该多数不是.......
又失败了......

最后希望ICESword，但是C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp，找不到.......郁闷中........
我机器里面到底有没有灰鸽子？？？

重启：手动扫描：worm.mail.fanbot
文件:Explorer.exe>>c:winnt\Explorer.exe,清除成功，
然后：实时监控：Backdoor.Gpigeon
路径：C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp

有没有搞错........

你个死鸽子，给我滚出来，我要砍死你.......

C:\DOCUME`1\diamond1\LOCALS~1\Temp，文件：mc23.tmp
对于这个文件来说
我的瑞星也曾报过是灰鸽子
不过是误报
如果安装SPYSWEEPER这个反间谍软件
瑞星都会误报这个是灰鸽子

另外mag_hook.dll是正常的系统文件

但是现在我怎么肯定到底机器里面是不是有鸽子呢？要知道木马在机器里面终究不是好事，而且还有一个问题：手动扫描：worm.mail.fanbot
文件:Explorer.exe>>c:winnt\Explorer.exe,清除成功，
这个怎么解决？？？请问

搜索这册表中“explorer.exe”，然后看看这个键值后面有没有跟随启动得东东，
例如：C:\WINDOWS\Explorer.exe；***.exe（或者***.dll）等等，把后面的删除掉。并在注册表中搜索跟在C:\WINDOWS\Explorer.exe后面的那个***.exe（或者***.dll）文件在注册表中是否有其他键值
，如果找到有，请删除并利用windows搜索功能在系统中找到这些文件删掉（要显示所有文件）
也可能是插入系统进程，这个非常不好办。

那我先请问一下，为何我 重装系统以后还有？？？这个木马可能在其他盘里面？？？如果在其他盘里面我杀了它再装.......我不郁闷死了

格式化系统盘没?

引用:

【烦烦烦烦还烦的贴子】那我先请问一下，为何我 重装系统以后还有？？？这个木马可能在其他盘里面？？？如果在其他盘里面我杀了它再装.......我不郁闷死了 ...........................

那你还不如重新分区来的干净

那我也想啊，但是俺盘子里面的东西怎么办？？？？？那么多“好看”“好玩”的东西，我周日的时候格式化过系统盘了，而且以前用的是xp现在用的是2000，可是还是有......
救命啊
俺要是知道谁放这个东西在俺机器里面的，俺就.......
不过灰鸽子的问题缠了我一个礼拜了......哪个高手可以指点一下啊

但你的HJ日里并没有发现鸽子,去叫baohe来看吧,

怎么叫他？？？联系方式？？？我急死了.......谢谢

每个贴的右上角有一个上报版主按钮看到没?

好了，我发了一条消息，祈祷斑竹快来吧.......

斑竹...................大家一起叫吧：“1.2.3斑竹救命啊.....”。
（好像在灌水....）

不会吧，怎么没有人理我啊，帮帮忙啊高手！！！

拿开水冲一下，再用不伤手的洗衣粉擦一遍！！！

跟我情况完全一样！！！

我纠缠灰格子 一个月了！！！

跟我情况完全一样！！！

我纠缠灰格子 一个月了！！！

我也是...虽然瑞星每次都说清除成功.但是...基本每天都能杀出灰鸽子来

那你家的开水可以烫灰鸽子???拿来用用啊,最多我洗衣粉自备.....
那你现在的机器怎么办???格过c 么???

顺便提个问题:安全模式下应该是 没有网络连接的吧,那么还需要拔网线么???