瑞星卡卡安全论坛

好些时间没来了。机器的病毒跟我打招呼了.让我来看看,所以就来了.
一起机看到桌面后就出现我D盘的一个文件夹(我系统在C盘,这个文件夹就是后面那个进程的老窝),进程里有IEXPL0RE.EXE这个进程.据悉(L和R之间的是(零)不是(哦))...
我是瑞星2006正版用户,升到目前最新版本能显示杀毒.但是重新起机之后还是有.
再瑞星官方找了一个灰鸽子查杀工具,也扫描出来了。但是杀不掉.让我提交给官方....
这几天找了好多解决办法,但是没能解决.还没去过安全模式.因为是菜鸟,所以先找到解决办法在说咯.
在文件夹选项-工具.显示隐藏文件跟系统文件都看不到这个进程的文件(不是安全模式)
不知道用HijackThis扫描出来的有没有用。总之先让大家看看把.

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      5:17:46, 日期 2006-5-17
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
F:\下载加速器\xl\Thunder.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\tch\My Documents\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\新建文件夹 (3)\QQIEHelper.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - F:\下载加速器\BitComet\BitCometBar\BitCometBar0.2.dll (file missing)
O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [ProxyThorn] D:\新建文件夹 (2)\ProxyThorn\ProxyThorn.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pbmini] C:\Program Files\pcast\PodcastbarMini\PodcastBarMiniStater.exe
O4 - Startup: 乃癟QQ.lnk = ?
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - F:\下载加速器\xl\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\下载加速器\xl\getallurl.htm
O8 - IE右键菜单中的新增项目: ノQQ眒獺祇癳赣瓜 - D:\新建文件夹 (3)\SendMMS.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tencent\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\qq\SendMMS.htm
O8 - IE右键菜单中的新增项目: 睰QQ薄 - D:\新建文件夹 (3)\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 睰QQ﹚竡狾 - D:\新建文件夹 (3)\AddPanel.htm
O9 - 浏览器额外的按钮: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的“工具”菜单项: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\新建文件夹 (3)\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 乃癟QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\新建文件夹 (3)\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\新建文件夹 (3)\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\新建文件夹 (3)\QQIEHelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {A984ED9F-E8DA-44E5-BC18-C14B9ABEF79D} (photo_uploader Control) - http://upload.photo.163.com/photoup.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E59592F9-59D1-4AEC-AFDA-F4DF0BA72681}: NameServer = 192.168.1.1
O23 - NT 服务: 1on_Se1 (1ayPigeon1) - Unknown owner - C:\WINDOWS\G_Server1.23.exe
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



在网上找了这个灰鸽子的资料.说说盗劫用
8知道要盗劫我什么..我又不是政府机构的电脑...


各位大虾费点时间告诉我手动解决的办法把,或者某个专杀软件.
只要能杀掉这个灰鸽子就行...
说的详细点我可以去安全模式里杀也行.

找了一晚上了..呼.现在困拉.我先呼呼了。中午起床.
各位大虾帮帮忙拉

啊啊啊,上面08那些是繁体版的QQ.没什么毛病的~

米有人帮我么??????????????????

..............................

【回复“红树叶ん”的帖子】一般瑞星都能够杀掉的，不清楚你想要的结果是什么

我用瑞星最新版本杀过了.显示是杀毒成功.但是重新起动之后在杀还是有这个进程...
我要的结果是.进程里没有这个进程.瑞星在查不出这个病毒来

【回复“红树叶ん”的帖子】找一下这个进程相关的程序，杀毒后到该目录下删除掉。相关的注册表里也手动删除一下。应该没问题

我用的瑞星查都查不出来，但是进程里可以看到

.IE的这个进程正常的话不是在这个文件夹里的。
2.删除它后会自动恢复，说明系统是有什么东西在监视这个进程，一旦发现停止，立即恢复。因此找到这个监视的进程才是最主要的。

我的思路是这样的
1.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。然后重启机器到安全模式下。
2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件；
3.通过按钮“创建时间”查看这个文件的创建日期，记下来；
4.查看这个文件夹下有没有与它是同一个日期创建的，判断是不是同样为病毒文件（这个需要你的水平了）
5.用同样的方法对几个重要的系统文件夹也进行下同样的操作。
6.将判断为病毒的文件删除（直接在冰刃里右击－删除）
7.以这些文件名搜索注册表，删除搜索到的键值。
8.重启。如果上面的操作能完成的话，那么重启后应该就正常了。
解决了给我回复,不行我还有招

卡巴6.0进入安全模式查杀即可，注册要升级到最新病毒库

发现灰鸽子O23 - NT 服务: 1on_Se1 (1ayPigeon1) - Unknown owner - C:\WINDOWS\G_Server1.23.exe
灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

    手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

    灰鸽子的运行原理

    灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

    G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

    Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

    灰鸽子的手工检测

    由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

    但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

    由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

    1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。（图1）

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。  （图2）

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。（图3）

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。（图4）

经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。另外，如果你发现了瑞星杀毒软件查不到的灰鸽子变种，也欢迎登陆瑞星新病毒上报网站（http://up.rising.com.cn）上传样本。

    灰鸽子的手工清除

    经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

    注意：为防止误操作，清除前一定要做好备份。

    一、清除灰鸽子的服务

    2000／XP系统：

    1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

    2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。
（图5）

3、删除整个Game_Server项。

    98／me系统：

    在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。（图6）

二、删除灰鸽子程序文件

    删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

    小结

    本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。

    同时随着瑞星杀毒软件2005版产品发布，杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力，灰鸽子病毒可以被安全有效地自动清除，需要用户手动删除它的机会也将越来越少。








附件: 6341162007130210459.jpg

图2

附件: 6341162007130210521.jpg

图3

附件: 6341162007130210537.jpg

图4

附件: 6341162007130210551.jpg

图5

附件: 6341162007130210605.jpg

图6

附件: 6341162007130210632.gif