瑞星卡卡安全论坛

首先,用进程管理机器查看可以进程包括的模块!如下
1.可疑的进程
SVCHOST.EXE    LOCAL SERVICE    cpu使用13~22  内存6752K
SVCHOST.EXE    NETWORK SERVICE  cpu使用00          3164K
SERVICES.EXE  SYSTEM            cpu使用00          3468K
对比相同名字的:
SVCHOST.EXE    SYSTEM            cpu使用00~02      3468K
SVCHOST.EXE    SYSTEM            cpu使用00          3428K
可疑的进程运行时候,CPU使用30%~50%,内存42%,其他什么大程序也没开!就执行个进程管理器,
进程包括模块导出报告!
2006年3月12日17时10分28秒

SERVICES.EXE 进程含有23个模块

C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\USERENV.dll
C:\WINDOWS\system32\SCESRV.dll
C:\WINDOWS\system32\AUTHZ.dll
C:\WINDOWS\system32\umpnpmgr.dll
C:\WINDOWS\system32\WINSTA.dll
C:\WINDOWS\system32\NCObjAPI.DLL
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\system32\LPK.DLL
C:\WINDOWS\system32\USP10.dll
C:\WINDOWS\system32\secur32.dll
C:\WINDOWS\system32\eventlog.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\WS2HELP.dll
C:\WINDOWS\system32\PSAPI.DLL
C:\WINDOWS\system32\wtsapi32.dll
C:\WINDOWS\system32\netapi32.dll

2006年3月12日17时11分31秒

SVCHOST.EXE 进程含有36个模块

C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\msvcrt.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
c:\windows\system32\Secur32.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\system32\LPK.DLL
C:\WINDOWS\system32\USP10.dll
C:\WINDOWS\system32\userenv.dll
C:\WINDOWS\System32\rsaenh.dll
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\System32\coclient_TcpIpDog.dll
C:\WINDOWS\system32\comdlg32.dll
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\system32\COMCTL32.dll
C:\WINDOWS\system32\SHELL32.dll
C:\WINDOWS\system32\WINSPOOL.DRV
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1579_x-ww_7bbf8d08\comctl32.dll
C:\WINDOWS\System32\wshtcpip.dll
C:\WINDOWS\system32\DNSAPI.dll
C:\WINDOWS\system32\iphlpapi.dll
C:\WINDOWS\System32\winrnr.dll
C:\WINDOWS\system32\WLDAP32.dll
C:\WINDOWS\system32\rasadhlp.dll
C:\WINDOWS\system32\CLBCATQ.DLL
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\system32\msv1_0.dll
006年3月12日17时12分0秒

SVCHOST.EXE 进程含有62个模块

C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\System32\LPK.DLL
C:\WINDOWS\System32\USP10.dll
c:\windows\system32\shsvcs.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\system32\shell32.dll
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1579_x-ww_7bbf8d08\comctl32.dll
C:\WINDOWS\system32\comctl32.dll
C:\WINDOWS\System32\WINSTA.dll
c:\windows\system32\dhcpcsvc.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
c:\windows\system32\iphlpapi.dll
c:\windows\system32\Secur32.dll
C:\WINDOWS\System32\UxTheme.dll
C:\WINDOWS\System32\rsaenh.dll
c:\windows\system32\wzcsvc.dll
c:\windows\system32\rtutils.dll
c:\windows\system32\WMI.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\CRYPT32.dll
C:\WINDOWS\system32\MSASN1.dll
c:\windows\system32\WTSAPI32.dll
c:\windows\system32\ESENT.dll
C:\WINDOWS\system32\WLDAP32.dll
c:\windows\system32\NETAPI32.dll
C:\WINDOWS\System32\rastls.dll
C:\WINDOWS\System32\ATL.DLL
C:\WINDOWS\System32\CRYPTUI.dll
C:\WINDOWS\System32\WINTRUST.dll
C:\WINDOWS\system32\IMAGEHLP.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\System32\MPRAPI.dll
C:\WINDOWS\System32\ACTIVEDS.dll
C:\WINDOWS\System32\adsldpc.dll
C:\WINDOWS\System32\SAMLIB.dll
C:\WINDOWS\System32\SETUPAPI.dll
C:\WINDOWS\System32\RASAPI32.dll
C:\WINDOWS\System32\rasman.dll
C:\WINDOWS\System32\TAPI32.dll
C:\WINDOWS\System32\WINMM.dll
C:\WINDOWS\System32\SCHANNEL.dll
C:\WINDOWS\system32\USERENV.dll
C:\WINDOWS\System32\WinSCard.dll
C:\WINDOWS\System32\raschap.dll
C:\WINDOWS\system32\msv1_0.dll
C:\WINDOWS\System32\CLBCATQ.DLL
C:\WINDOWS\System32\COMRes.dll
C:\WINDOWS\system32\VERSION.dll
c:\windows\system32\audiosrv.dll
c:\windows\system32\wkssvc.dll
c:\windows\system32\NTDSAPI.dll
c:\windows\system32\qmgr.dll

2006年3月12日17时12分59秒

SVCHOST.EXE 进程含有25个模块

C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\wiaservc.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\OLE32.DLL
C:\WINDOWS\system32\SHLWAPI.dll
c:\windows\system32\CFGMGR32.dll
C:\WINDOWS\System32\setupapi.dll
C:\WINDOWS\system32\USERENV.dll
c:\windows\system32\mscms.dll
c:\windows\system32\WINSPOOL.DRV
c:\windows\system32\WINSTA.dll
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\System32\LPK.DLL
C:\WINDOWS\System32\USP10.dll
C:\WINDOWS\System32\CLBCATQ.DLL
C:\WINDOWS\System32\COMRes.dll
C:\WINDOWS\System32\actxprxy.dll
C:\WINDOWS\System32\sti.dll

其他两个SVCHOST.EXE模块为0,共有5个SVCHOST.EXE,1个SERVICES.EXE,其中列出报告的均是可疑.

Hijackthis报告
HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:15:44, 日期 2006-3-12
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
G:\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - F:\PROGRA~1\Kugoo\KuGoo3\KUGOO3~1.OCX
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\ICQ\ICQToolbar\toolbaru.dll (file missing)
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [VirtualDrive] "F:\GAME&虚拟光驱\VDTask.exe" /AutoRestore
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - F:\Program Files\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - F:\Program Files\Kugoo\KuGoo3\KuGoo3DownX.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - F:\Program Files\FLASHGET\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - F:\Program Files\FLASHGET\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\Program Files\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\Program Files\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\Program Files\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\QQ\QQIEHelper.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\QQ\QQIEHelper.dll (file missing)
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\coclient_tcpipdog.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\coclient_tcpipdog.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\coclient_tcpipdog.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\coclient_tcpipdog.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\coclient_tcpipdog.dll
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {98A62E3F-A8C5-4EF0-8A00-C70CF9D18A89} (LoaderCore Class) - http://tb.sogou.com/DLLoader.cab
O16 - DPF: {A96C48EA-AA88-4BBD-B58C-7B41146A6EAC} (Qzone Media Tools) - http://imgcache.qq.com/qzone/photo/QzoneMediaTools.cab
O16 - DPF: {A984ED9F-E8DA-44E5-BC18-C14B9ABEF79D} (photo_uploader Control) - http://upload.photo.163.com/photoup.cab
O16 - DPF: {AC3A36A8-9BFF-410A-A33D-2279FFEB69D2} (Qzone Media Tools) - http://imgcache.qq.com/music/QQMusicSetup.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/IESearch.cab
O16 - DPF: {D0A29C6C-AA71-4423-8C4A-5998B774C448} - http://download.ourgame.com/IEDown4.cab
O16 - DPF: {DE3496D2-AFB9-47EB-A8C2-C3B330222513} (PhotoUpload Control) - http://www.photo.163.com/PhotoUpload.cab
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/cab/Seekmo/ie/bridge-c15.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://pcaststatic.mop.com/dn/files/pCastCtl_1.0.0.71_20050929.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A772F95F-D398-4628-843B-A06D3ADE534C}: NameServer = 61.130.254.34,61.130.254.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBF97E9E-549B-47CA-84FF-52CEBEB17E4F}: NameServer = 61.130.254.34 61.130.254.35
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

用HIJACK修复发生错误，以及CPU的图
附图

附件: 6693222006312172117.jpg

CPU

附件: 6693222006312172339.jpg

结素那两个进程的截图CPU

附件: 6693222006312172948.jpg

一个与我类似的例子
--------------------------------------------------------------------------------

任务管理器－进程中，有SVCHOST.EXE  (LOCAL SERVICE)
                                SVCHOST.EXE  (NETWORK SERVICE)
                                SVCHOST.EXE  (SYSTEM)
                                SVCHOST.EXE  (NETWORK SERVICE)
                                SVCHOST.EXE  (SYSTEM)
                                SERVICES.EXE  (SYSTEM)

G_Server.exe
是典型的灰鸽子

建议你发一个LOG
单击我个人签名中最新汉化版的：HijackThis
下载后,解压运行,运行时,点击:“扫描系统并保存日志”
然后把生成的记事本文件内容复制上来～～

因为你的可能是灰鸽子变种，先从LOG中查看哪一项是它的服务项，然后还要手动删除一些文件，才能搞定～～～
你上面只删除几个文件，是不行的～～

运行Hijackthis，选择"扫描系统并保存日志"，在下列选项前打上勾，点“修复选项”,出现提示时点“是”

O4 - HKLM\..\Run: [ExFilter] Rundll32.exe "C:\PROGRA~1\CNNIC\Cdn\cdnspie.dll,ExecFilter solo"
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

修复后，单击我个人签名中的"Killbox",下载解压后，运行并删除：
C:\WINDOWS\G_Server.exe
C:\WINDOWS\G_Server.dll
C:\WINDOWS\G_Serverkey.dll
C:\WINDOWS\G_Server_hook.dll
找到几个删几个
用killbox无法删除，都是显示“没有找到此文件，文件不存在或已被删除”
扫描后的log中，仍存在
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

lishaoqing66 2005-9-2 05:32 AM

那就重起电脑，按F8进入安全模式，去掉文件隐藏和只读属性

查找并删除上述文件～～

pureice 2005-9-2 06:31 AM

好像还是不行～～
在安全模式下killbox显示删掉了C:\WINDOWS\G_Server.exe（其余三个都没有）
但是之后的log中仍有
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe (file missing)

lishaoqing66 2005-9-2 07:11 AM

再这样吧，重起电脑进入安全模式（以下全部在安全模式下面操作）
先右击我的电脑---->管理---->服务和应该程序，在里面找到“GrayPigeonServer”，右击属性，然后设置禁用

运行regedit打开注册表，查找Gray_Pigeon_Server 相关项和键值，删除，但是有的提示无法删除，你右键找到权限项，将完全控制打钩就可删除

然后再用KILLBOX删除：
C:\WINDOWS\G_Server.exe
C:\WINDOWS\G_Server.dll
C:\WINDOWS\G_Serverkey.dll
C:\WINDOWS\G_Server_hook.dll

pureice 2005-9-2 10:51 AM

唉，大人说的这么详细我竟然还白痴的在服务和应该程序里找不到“GrayPigeonServer“～～
不过现在重启之后，金山的日志已经检测不出来了，但log中还是有
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe (file missing)
痛苦，我都想放弃了

lishaoqing66 2005-9-2 11:35 AM

希望下面的文章能帮助你解决问题

一、清除灰鸽子的服务 2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

3、删除整个Game_Server项。




二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

2000／XP系统：
1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。
3、删除整个Game_Server项。

lishaoqing66 2005-9-2 11:37 AM

或者下载：

灰鸽子专杀工具

pureice 2005-9-2 12:07 PM

这个方法我来这问之前就试过了完全找不到game.exe（也是在安全模式下操作的）
专杀工具也没用～～～
不过还是谢谢大人

lishaoqing66 2005-9-2 12:13 PM

那算了吧

帮不了你～～～
-------------------------------------------------------------------------------

请帮忙啊~~~~~~