【求助】请哪位大侠帮我看看啊！我的hijackthis.log

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】请哪位大侠帮我看看啊！我的hijackthis.log

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

【求助】请哪位大侠帮我看看啊！我的hijackthis.log

火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:	发表于： 2005-09-01 12:09 \| 只看楼主短消息资料字号：小中大 1楼【求助】请哪位大侠帮我看看啊！我的hijackthis.log 那天无意中进了一个网站可能有毒的，之后就中了木马，然后发现自己的主页变成了MSN中文网站。改不回来了，用3721恢复也是这样。用瑞星的注册表恢复也没用。而且每次重启计算机用瑞星扫毒，总会发现：病毒名称Backdoor.Gpigeon.5.cy 处理结果清除成功发现日期 05-09-01 10:37 扫描方式手动扫描路径 IEXPLORE.EXE>>D:\Program Files\Internet Explorer\IEXPLORE.EXE 来源本机后来我用这个hijackthis找到了SVCHOST。EXE删除掉后，再扫毒就没有出现了。可是我不知道清除成功没有，另外主页还是不能改回来。请哪位大侠指点一下～～多谢了！！！这是我的 hijackthis.log Logfile of HijackThis v1.99.0 Scan saved at 11:54:48, on 2005-9-1 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\PROGRAM FILES\RISING\RAV\Ravmond.exe D:\PROGRAM FILES\RISING\RAV\RavStub.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\nvsvc32.exe D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE D:\WINNT\system32\MSTask.exe D:\Program Files\Serv-U\ServUDaemon.exe D:\WINNT\system32\slserv.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\system32\svchost.exe D:\WINNT\Explorer.EXE D:\WINNT\system32\rundll32.exe D:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE D:\PROGRA~1\RISING\RAV\RAVMON.EXE D:\PROGRA~1\SKYNET\FIREWALL\pfw.exe D:\WINNT\system32\internat.exe D:\Program Files\Internet Explorer\IEXPLORE.EXE D:\PROGRA~1\RISING\RAV\Rav.exe E:\HijackThis\HijackThis.exe R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - D:\WINNT\DOWNLO~1\CnsHook.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar.dll O2 - BHO: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - D:\PROGRA~1\3721\Assist\asbar.dll O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - D:\WINNT\DOWNLO~1\CnsHook.dll O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - D:\PROGRA~1\3721\Assist\asbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CnsMin] Rundll32.exe D:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32 O4 - HKLM\..\Run: [helper.dll] D:\WINNT\system32\rundll32.exe D:\PROGRA~1\3721\helper.dll,Rundll32 O4 - HKLM\..\Run: [YDTMain.exe] D:\PROGRA~1\YDT\YDTMain.exe O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [SKYNET Personal FireWall] D:\PROGRA~1\SKYNET\FIREWALL\pfw.exe O4 - HKCU\..\Run: [Internat.exe] internat.exe O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm (file missing) O9 - Extra button: 手机短信 - {5DA5CC16-90A8-4c78-AB5E-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm (file missing) O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm (file missing) O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm (file missing) O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm (file missing) O11 - Options group: [!CNS] 网络实名 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125039708593 O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe O23 - Service: Rising Process Communication Center - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - Service: RsRavMon Service - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe O23 - Service: Serv-U FTP 服务器 - Cat Soft - D:\Program Files\Serv-U\ServUDaemon.exe O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) 2005-09-23 10:15:42
火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:	分享到：

火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:	发表于： 2005-09-01 18:14 \| 只看楼主短消息资料字号：小中大 2楼大侠们都出去吃饭了么，我从中午等到现在。有人吗？
火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-09-01 18:41 \| 短消息资料字号：小中大 3楼请修复： O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) >>自己的主页变成了MSN中文网站。改不回来了，用3721恢复也是这样。请检查您是否使用了3721等软件的ie保护功能
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:	发表于： 2005-09-01 19:04 \| 只看楼主短消息资料字号：小中大 4楼多问一句，slserv.exe 是不是灰鸽子病毒的文件啊关于主页的，我查看了3721，把IE保护取消了，然后用瑞星的注册表修复功能修复了，可是主页现在变成了空白页，不能改成别的网站，重启后也是这样～
火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-09-01 19:24 \| 短消息资料字号：小中大 5楼请删除D:\WINNT\system32\slserv.exe 请参考：关于IE空白的几种修复方法 http://forum.ikaka.com/topic.asp?board=67&artid=6392083
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:	发表于： 2005-09-01 20:26 \| 只看楼主短消息资料字号：小中大 6楼其实不是IE空白，而是主页被设为空白页“about:blank”，并且不能修改了。没有用3721的IE保护，这个帖子“关于IE空白的几种修复方法http://forum.ikaka.com/topic.asp?board=67&artid=6392083 介绍的方法都试了还是不行！
火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-09-01 20:49 \| 短消息资料字号：小中大 7楼默认主页被修改 .表现形式：默认主页被改为某网站的网址 .修复办法：展开注册表到 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main 下，将右边窗口中的"Default-Page-URL"的键值修改为自己喜欢的网址。 IE主页不能修改 .表现形式：主页设置被屏蔽锁定，且设置选项无效不可更改 .修复办法：展开注册表到 HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel 下，将右边窗口中的“homepage”的键值由原来的“1”修改为“0”即可，或干脆将“Control Panel”删除就可以了! IE默认起始页被修改 .表现形式：默认起始页被改为某网站的网址 .修复办法：展开注册表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 将右边的“Start Page”键值修改为自己喜欢的网址。
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

初生襁褓狮

帖子:8
注册: 2005-09-01
来自:

发表于： 2005-09-01 21:10 | 只看楼主 短消息资料

字号：小中大 8楼

引用:

【飞跃迷离的贴子】

IE主页不能修改
.表现形式：主页设置被屏蔽锁定，且设置选项无效不可更改
.修复办法：展开注册表到
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel
下，将右边窗口中的“homepage”的键值由原来的“1”修改为“0”即可，或干脆将“Control Panel”删除就可以了!
...........................

"HKEY_USERS\.DEFAULT\Software\Policies\Microsoft ……”这个后面找不到你写的“Internet Explorer\Control Panel”
只有SystemCertificates

忘了说我是2000系统

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-09-01 21:31 \| 短消息资料字号：小中大 9楼 IE默认起始页被修改 .表现形式：默认起始页被改为某网站的网址 .修复办法：展开注册表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 将右边的“Start Page”键值修改为自己喜欢的网址。
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:	发表于： 2005-09-01 21:38 \| 只看楼主短消息资料字号：小中大 10楼我现在发现了一个问题，只能在注册表里修改“Start Page” 似乎主页被锁定了，我想在IE浏览器里修改就不行这又是怎么回事呢？？
火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:	发表于： 2005-09-01 12:09 \| 只看楼主短消息资料字号：小中大 1楼【求助】请哪位大侠帮我看看啊！我的hijackthis.log 那天无意中进了一个网站可能有毒的，之后就中了木马，然后发现自己的主页变成了MSN中文网站。改不回来了，用3721恢复也是这样。用瑞星的注册表恢复也没用。而且每次重启计算机用瑞星扫毒，总会发现：病毒名称Backdoor.Gpigeon.5.cy 处理结果清除成功发现日期 05-09-01 10:37 扫描方式手动扫描路径 IEXPLORE.EXE>>D:\Program Files\Internet Explorer\IEXPLORE.EXE 来源本机后来我用这个hijackthis找到了SVCHOST。EXE删除掉后，再扫毒就没有出现了。可是我不知道清除成功没有，另外主页还是不能改回来。请哪位大侠指点一下～～多谢了！！！这是我的 hijackthis.log Logfile of HijackThis v1.99.0 Scan saved at 11:54:48, on 2005-9-1 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\PROGRAM FILES\RISING\RAV\Ravmond.exe D:\PROGRAM FILES\RISING\RAV\RavStub.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\nvsvc32.exe D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE D:\WINNT\system32\MSTask.exe D:\Program Files\Serv-U\ServUDaemon.exe D:\WINNT\system32\slserv.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\system32\svchost.exe D:\WINNT\Explorer.EXE D:\WINNT\system32\rundll32.exe D:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE D:\PROGRA~1\RISING\RAV\RAVMON.EXE D:\PROGRA~1\SKYNET\FIREWALL\pfw.exe D:\WINNT\system32\internat.exe D:\Program Files\Internet Explorer\IEXPLORE.EXE D:\PROGRA~1\RISING\RAV\Rav.exe E:\HijackThis\HijackThis.exe R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - D:\WINNT\DOWNLO~1\CnsHook.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar.dll O2 - BHO: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - D:\PROGRA~1\3721\Assist\asbar.dll O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - D:\WINNT\DOWNLO~1\CnsHook.dll O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - D:\PROGRA~1\3721\Assist\asbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CnsMin] Rundll32.exe D:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32 O4 - HKLM\..\Run: [helper.dll] D:\WINNT\system32\rundll32.exe D:\PROGRA~1\3721\helper.dll,Rundll32 O4 - HKLM\..\Run: [YDTMain.exe] D:\PROGRA~1\YDT\YDTMain.exe O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [SKYNET Personal FireWall] D:\PROGRA~1\SKYNET\FIREWALL\pfw.exe O4 - HKCU\..\Run: [Internat.exe] internat.exe O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm (file missing) O9 - Extra button: 手机短信 - {5DA5CC16-90A8-4c78-AB5E-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm (file missing) O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm (file missing) O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm (file missing) O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm (file missing) O11 - Options group: [!CNS] 网络实名 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125039708593 O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINNT\system32\nvsvc32.exe O23 - Service: Rising Process Communication Center - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - Service: RsRavMon Service - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe O23 - Service: Serv-U FTP 服务器 - Cat Soft - D:\Program Files\Serv-U\ServUDaemon.exe O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) 2005-09-23 10:15:42
火柴之心初生襁褓狮帖子:8 注册: 2005-09-01 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】请哪位大侠帮我看看啊！我的hijackthis.log

【求助】请哪位大侠帮我看看啊！我的hijackthis.log

【求助】请哪位大侠帮我看看啊！我的hijackthis.log

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】请哪位大侠帮我看看啊！我的hijackthis.log