烦人的灰鸽子【原创】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛烦人的灰鸽子【原创】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

烦人的灰鸽子【原创】

笨女孩儿初生襁褓狮帖子:33 注册: 2004-04-06 来自:	发表于： 2005-09-12 11:18 \| 只看楼主短消息资料字号：小中大 1楼烦人的灰鸽子【原创】各位大侠，我不知道什么时候中了灰鸽子，怎么杀都杀不死。按照网上所贴的手工清除方法也试了，在搜索：_hook.dll文件时，显示有两个mag_hook.dll；一个在：C:\winnt.system32；另一个在C:\winnt.system32\dllcache里。我都不知道到底有没有查到灰鸽子。更奇怪的是在正常模式下用瑞星杀毒软件查杀，显示清除成功，重启后又能查到。但是在安全模式下根本就查不到有病毒，我用专杀工具也试过了，也查不到有灰鸽子。这是我扫描的进程，请各位大侠帮我看一下。教教我该如何清除该死的灰鸽子。当前运行的进程： C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\WINNT\system32\r_server.exe C:\PROGRAM FILES\RISING\RAV\RavStub.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\winime.exe C:\RCI\bin\ibguard.exe C:\RCI\bin\ibserver.exe C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE C:\PROGRA~1\RISING\RAV\RAVMON.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\CNNIC\Cdn\cdnup.exe C:\WINNT\system32\internat.exe C:\Program Files\rising\rfw\Rfw.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe C:\WINNT\system32\conime.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\ZOUGAO~1\LOCALS~1\Temp\Rar$EX00.891\HijackThis1991zww.exe R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fplaunch.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon O4 - 启动项HKLM\\Run: [InterBaseGuardian] C:\RCI\bin\ibguard.exe -a O4 - 启动项HKLM\\Run: [rfw] C:\Program Files\rising\rfw\Rfw.exe O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe O4 - 启动项HKLM\\Run: [WangWang] "D:\Program Files\淘宝网\淘宝旺旺\WangWang.EXE" O4 - 启动项HKLM\\Run: [renewup] C:\Program Files\CNNIC\Cdn\cdnrenew.exe O4 - 启动项HKLM\\Run: [helper.dll] C:\WINNT\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - HKCU\..\Run: [internat] internat.exe O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\qq\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\qq\SendMMS.htm O9 - 浏览器额外的按钮: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll O9 - 浏览器额外的“工具”菜单项: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll O9 - 浏览器额外的按钮: MyIM音乐随心听 - {98C3FD76-B058-474F-BB61-70ED205F7A5C} - C:\WINNT\system32\MyIMLite\Music.dll (file missing) O9 - 浏览器额外的“工具”菜单项: MyIM音乐随心听 - {98C3FD76-B058-474F-BB61-70ED205F7A5C} - C:\WINNT\system32\MyIMLite\Music.dll (file missing) O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - d:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\qq\QQ.EXE O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\qq\QQ.EXE O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\qq\QQIEHelper.dll O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\qq\QQIEHelper.dll O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\cdnns.dll O11 - Options group: [CDNCLIENT] 中文上网 O17 - HKLM\System\CCS\Services\Tcpip\..\{6966650D-3CE3-4CEF-9ACA-72B06046D18E}: NameServer = 61.128.128.68,202.96.209.5 O18 - 列举现有的协议: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - d:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O20 - AppInit_DLLs: apihookdll.dll O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: fone (fons) - Unknown owner - C:\WINNT\G_Server.exe O23 - NT 服务: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe O23 - NT 服务: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing) 2005-09-13 10:58:18
笨女孩儿初生襁褓狮帖子:33 注册: 2004-04-06 来自:	分享到：

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-09-12 11:22 \| 短消息资料字号：小中大 2楼 O23 - NT 服务: fone (fons) - Unknown owner - C:\WINNT\G_Server.exe鸽子 O23 - NT 服务: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)这项修复！
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

笨女孩儿初生襁褓狮帖子:33 注册: 2004-04-06 来自:	发表于： 2005-09-12 16:42 \| 只看楼主短消息资料字号：小中大 3楼谢谢你的回复，选择修复就行了吗？ G_server是灰鸽子，但是r_server.exe是我安装的远程控制的一个程序，应该不是灰鸽子呀。如果是，还应该有几个什么文件在：C:\WINNT\system32里呢？
笨女孩儿初生襁褓狮帖子:33 注册: 2004-04-06 来自:

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-09-12 16:48 \| 短消息资料字号：小中大 4楼 1、修复是没有用的。你看一下这个帖（http://forum.ikaka.com/topic.asp?board=28&artid=6202404）里面有清除方法，只是文件名不一样，手法是一样的~~~~有什么文件在什么文件夹里这个贴里都有说明。
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-09-12 16:49 \| 短消息资料字号：小中大 5楼 2、我只叫你修复那一个服务项，没叫你移除那个程序~
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

笨女孩儿初生襁褓狮帖子:33 注册: 2004-04-06 来自:	发表于： 2005-09-13 10:50 \| 只看楼主短消息资料字号：小中大 6楼谢谢您的，我已经在注册表里删除了，但是还是没有在文件夹里找到那几个文件。不过用瑞星杀毒软件查杀已经没有再查到灰鸽子了，不知道是不是已经清除了。
笨女孩儿初生襁褓狮帖子:33 注册: 2004-04-06 来自:

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-09-13 10:52 \| 短消息资料字号：小中大 7楼清了，如果重起后瑞星不报毒就可以放心了。
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

zhdpk123 初生襁褓狮帖子:12 注册: 2005-09-13 来自:	发表于： 2005-09-13 10:53 \| 短消息资料字号：小中大 8楼网上买耗材的好去处http://www.dpk123.com 购物100元以上免平邮费; 兼容墨盒200元免送货上门费 ; 下单加1元礼物任你选; 5元,8元,12元墨盒,超低的价格你不心动吗? 买格之格品牌硒鼓一个送A4彩喷纸一包; 买杰思特品牌硒鼓一个送A4彩喷纸一包; 买天威品牌硒鼓一个送A4彩喷纸一包; 买天威兼容STAR cr3240/NX2420色带架, 超低价还买五送一; 买天威兼容EPSON LQ1600K色带架超低价还买十送二; 格之格兼容EPSON T038/T039墨盒套装60.00元买格之格兼容HP2612硒鼓超低价还送格之格兼容HP2612碳粉一支; 买格之格兼容HP7115A硒鼓超低价还送格之格兼容HP7115碳粉一支; 买格之格兼容EPSON T026/T027套装超低价还送短平快兼容T026BK墨盒1个; 买格之格兼容EPSON T028/T029套装超低价还送短平快兼容T028BK墨盒1个; 买格之格兼容CANON BCI-24BK/24C套装;超低价还送 BCI-24CMY彩色墨盒1个短平快商城http://www.dpk123.com热忱欢迎您的光临! 短平快商城是短平快公司自营的网上购物平台，面向全国经营,国内最大的专业耗材电子商务销售平台；提供最新行业信息；实用及维修技术支持；30多个品牌近万种产品；价格同行最低；50多个城市提供货到付款。是目前国内耗材门类、品种最齐全的网上购物平台，竭诚为用户提供各式打印机原装和通用耗材，包括EPSON,CANON、HP、天威、格之格、耐力、格力、杰思特、双杰、活彩、短平快等品牌全系列墨盒、墨水、激光碳粉、硒鼓、色带、打印纸、相纸、光盘和磁盘，并以良好的服务、便捷的支付方式、优惠的价格、成熟的物流体系为广大网民提供便捷、舒适的网上购物环境。
zhdpk123 初生襁褓狮帖子:12 注册: 2005-09-13 来自:

笨女孩儿初生襁褓狮帖子:33 注册: 2004-04-06 来自:	发表于： 2005-09-13 10:58 \| 只看楼主短消息资料字号：小中大 9楼嗯，真是太感谢你了~！谢谢~！~！^_^
笨女孩儿初生襁褓狮帖子:33 注册: 2004-04-06 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT