瑞星卡卡安全论坛

最近我电脑中了这个病毒Backdoor.Gpigeon.uhq ,一直都杀不掉.我用的是瑞星升级版的.当前版本是18.11.40.可还是杀不干净.这个病毒每次寄存在内存里.每次杀掉后等下次开电脑它还在内存里.到安全模式下杀毒依然没有用.根本就发现不了病毒.现在每天开电脑的第一件事是先杀内存的病毒...晕
有知道怎么解决的朋友给帮个手吧..........

去http://forum.ikaka.com/topic.asp?board=28&artid=6979213
1楼,,载附件,,,然后是、扫描HJ日志,,然后发上来看

确认灰鸽子项后,,,参照http://forum.ikaka.com/topic.asp?board=28&artid=7713905
的处理方法

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      12:18:23, 日期 2006-1-30
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\rising\Rav\RavStub.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\rising\Rav\RavTask.exe
C:\Program Files\rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
D:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\木马杀客\mmsk.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\sk\桌面\2535952005811174944\HijackThis1991zww.exe

R3 - URLSearchHook: SrchHook Class - {EED92A43-CFCE-4548-BD73-B0A405470ED5} - C:\PROGRA~1\CNNIC\Cdn\iesrch.dll (file missing)
R3 - URLSearchHook: QQ Search Hook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\Program Files\TENCENT\AddrPlus\IEHelp3.dll (file missing)
R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - (no file)
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll (file missing)
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O2 - BHO: MMSAssist BHO - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll (file missing)
O2 - BHO: DDDMon Class - {6BDE1669-B490-48E3-B668-456314F2D6C3} - C:\Program Files\DuDu\DddClient\dddiemon.dll (file missing)
O2 - BHO: IEHlprObj Class - {EE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\INTERN~1\HMAPI.dll (file missing)
O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - e:\PROGRA~1\Kingsoft\FASTAI~1\IEBand.dll
O3 - IE工具栏增项: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] C:\Program Files\rising\Rfw\rfwmain.exe
O4 - 启动项HKLM\\Run: [mmsk] C:\Program Files\木马杀客\mmsk.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目:  >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll (file missing)
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://bbsky.wuhan.net.cn/nettv/plugin/PowerPlr.ocx
O16 - DPF: {DF6FE46D-1D23-4668-AD3A-CDEA1262B282} (PowerDld Control) - http://bbsky.wuhan.net.cn/plugin/PowerDld.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C843B70-5D6D-4D34-8B76-950D2695CCC9}: NameServer = 202.103.44.5 202.103.0.117
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\Ravmond.exe
O23 - NT 服务: Network System (Universal Disk Manager) - COMENET TECHNOLOGY - C:\Program Files\Common Files\COMM\Network.exe

现在应该没有了吧.这个病毒就每次开机的时候能在内存里查出来.提示已经删除了.可下次开机又有.

去注册表编辑器找病毒对应注册项,,,全删

进入方法,,,
开始->运行->输入regedit回车

日志023没看出什么

我也是同样的问题，请教该如何处理？

O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
修复上面这项，并删除相关文件，
日志中没有看到鸽子的服务项~~
你可以试试关闭所有IE窗口，再清空临时文件夹  IE》属性》删除文件（包括脱机文件）》确定

然后再重启下看看

R3 - URLSearchHook: SrchHook Class - {EED92A43-CFCE-4548-BD73-B0A405470ED5} - C:\PROGRA~1\CNNIC\Cdn\iesrch.dll (file missing)
R3 - URLSearchHook: QQ Search Hook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\Program Files\TENCENT\AddrPlus\IEHelp3.dll (file missing)
R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - (no file)
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll (file missing)
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O2 - BHO: MMSAssist BHO - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll (file missing)
O2 - BHO: DDDMon Class - {6BDE1669-B490-48E3-B668-456314F2D6C3} - C:\Program Files\DuDu\DddClient\dddiemon.dll (file missing)
O2 - BHO: IEHlprObj Class - {EE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\INTERN~1\HMAPI.dll (file missing)
O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll (file missing)
O23 - NT 服务: Network System (Universal Disk Manager) - COMENET TECHNOLOGY - C:\Program Files\Common Files\COMM\Network.exe
修复以上
显示隐藏文件
删除:
C:\PROGRA~1\MMSASS~1目录项
C:\Program Files\Common Files\COMM目录项

引用:

【xfsk的贴子】现在应该没有了吧.这个病毒就每次开机的时候能在内存里查出来.提示已经删除了.可下次开机又有. ...........................

解决了没有啊 ，我也有类似的问题，找不出什么东西，但是开机后去看杀毒日志肯定是有一个鸽子被杀的，同一个文件winupdate.dll，在纯DOS下用最新版瑞星做的杀过了，老样子

老兄，解决了，说下

大家都中了?我也是啊````老是有个什么的啊D工具包`````怎么办啊?

教教我啊```怎么没人出声呢?

先把文件夹里的隐藏的文件全部显示出来，之后删除灰鸽子文件删除

回9楼的.IE清理了还是不行
回10楼的.C:\PROGRA~1\MMSASS~1目录项
C:\Program Files\Common Files\COMM目录项
这个文件夹找不到啊.C盘下没这个文件夹啊.我已经设置显示了所有隐藏文件
回11楼的.没呢.到也没什么大害,关键就是每天开机先查下毒.感觉挺烦人的

怎么没人能解决这问题呀........
顶下别掉下去了

把病毒文件名和路径帖上来~~

修复注册表，再用优化大师删除其服务，然后再杀。

也可用专杀工具实施

灰鸽子

17楼的帮看看````

附件: 6556132006131154231.jpg

这是路径

附件: 6556132006131154330.jpg

到下面的帖子里下载IceSword并打开至进程点上面的log小图标，保存，然后发上来看看~~

使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178

另，你可以参考下帖，
一只HijackThis看不见的灰鸽子
http://forum.ikaka.com/topic.asp?board=28&artid=7483512

回22楼的。帮忙看下.另外我的木马杀客带有一个灰鸽子专杀工具.说电脑里没有灰鸽子病毒呀.
这是进程表
C:\WINDOWS\System32\LSASS.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\MDM.EXE
D:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\RISING\Rav\RavMon.exe
C:\Program Files\RISING\Rav\RavMonD.exe
C:\Program Files\RISING\Rav\RavStub.exe
C:\Program Files\RISING\Rav\RavTask.exe
C:\Program Files\RISING\Rfw\RFWMAIN.EXE
C:\Program Files\RISING\Rfw\RFWSRV.EXE
C:\WINDOWS\System32\SERVICES.EXE
C:\WINDOWS\System32\SMSS.EXE
C:\WINDOWS\System32\SPOOLSV.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\WINDOWS\System32\WINLOGON.EXE
C:\WINDOWS\System32\ALG.EXE
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\木马杀客\mmsk.exe
C:\WINDOWS\System32\WSCNTFY.EXE


我电脑的木马杀客是设置的随机启动.现在每天启动电脑的时候.木马杀客都会在内存里发现病毒并杀掉,但下次还有.下面的是杀客的历史记录

2006年1月29日
系统事件：启动项目中发现木马!
木马名称：Troj.QQPass.XX.2361
木马启动项：exfilter
木马从启动项目中清除成功!
rundll32.exe "c:\progra~1\cnnic\cdn\cdnspie.dll",execfilter solo

2006年1月29日
2006年1月29日
2006年1月29日
2006年1月29日
2006年1月29日
2006年1月29日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年1月29日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年1月30日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年1月30日
2006年1月30日
2006年1月30日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年1月30日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年1月31日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年1月31日
2006年1月31日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年1月31日
2006年1月31日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年1月31日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年2月1日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年2月1日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

2006年2月1日
系统事件：内存中发现木马!
木马名称：Trojan-PSW.Win32.Pcik.a.3036
木马进程：network.exe
木马从内存中清除成功!

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载HIJACKTHIS＜附件就是＞
导出日志

【回复“xfsk”的帖子】
看10楼的贴
按布骤
在安全模式下重扫先修复。
在删除。

转自~~http://www.ecampus.fudan.edu.cn/ecampus/news/news_content.jsp?id=2510&channel=1


病毒名称: Trojan-PSW.Win32.Pcik.a (密码7005)
危害程度：中
受影响的系统: Windows 2000, Windows XP,Windows Server 2003
未受影响的系统: Windows 95, Windows 98, Windows Me,Windows NT, Windows 3.x, Macintosh, Unix, Linux,
病毒危害：
1. 冒充系统文件
2. 利用网络进行传播
3. 修改系统注册表
4. 发送信息到指定信箱
5. 终止常用的反病毒软件
感染形式：
木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。冒充系统文件欺骗用户，专门偷窃游戏《破天一剑》的用户信息，包括服务器、账号、密码等。
Delphi编写的偷用户游戏（破天一剑）密码的木马，32324字节，自称是”密码7005”。
一、采用Explorer.exe的图标，冒充系统文件。
二、第一次运行时，把自己复制到系统目录，命名为”INTERTRAT.EXE”、”NETWORK.EXE”。
三、在注册表添加自启动项，随系统的启动而自动运行。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
“NETWORK.EXE” : %SYSTEM%NETWORK.EXE
修改exe类型的文件关联，每当运行一个新的exe程序，都会激活病毒。
HKEY_CLASSES_ROOTexefileshellopencommand
(默认) : %SYSTEM%INTERTRAT.EXE “%1” %*
四、终止常用的反病毒软件
密码防盗专家、木马克星、绿鹰PC万能精灵
五、病毒遍历所有的窗口，查找”破天一剑自动升级”程序，偷取下列信息，发送到指定信箱
服务器=
账 号=
密 码=
角色~1
角色~2
角色~3
主机名:
IP地址:
操作系统:


预防和清除：
安装并启用网络和病毒防火墙，及时安装系统更新补丁。
金山毒霸以及瑞星杀毒软件当前版本即可防御或清除该病毒。
其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除