各位大哥高手，我前两天用ewido查出来中了backdoor.Graybird，杀了，第二天又出来了，用nordon杀却说没有毒，可是ewido却还是查出，我真的是要抓狂了，请帮帮我啊！！！！！！！！！

请各位高手帮忙啊。。。

各位高手，帮忙啊。。。

置顶帖子

去下载个HijackThis来扫描日志
发上来别人帮你分析

是 backdoor.graybird.bh
是不是一个新的变种阿

我的日志
标题：菜鸟求救!

各位大虾:
感谢您关注我的这份报告，小菜鸟急需您的帮助！
本扫描/诊断报告由“全能助手Windows优化王(http://www.tweakassist.com/cn/index.htm)” 生成

操作系统: Microsoft Windows XP  Service Pack 1
IE版本号: 6.0.2800.1106  Build 62800.1106
TweakAssist: 2.0.9.0
物理内存: 511MB, 可用物理内存: 234MB

===============================================================

我的Windows系统出现下列问题：
===========================

以下是我的诊断信息详细内容：
===============================================================
Windows 启动项
===============================================================
启动项: IMJPMIG8.1
命令行: "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
启动位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: Microsoft IME, Microsoft Corporation

启动项: PHIME2002ASync
命令行: C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
启动位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: 微軟新注音輸入法 2002a, Microsoft Corporation

启动项: PHIME2002A
命令行: C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
启动位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: 微軟新注音輸入法 2002a, Microsoft Corporation

启动项: vptray
命令行: C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
启动位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: Symantec AntiVirus, Symantec Corporation

启动项: ISUSScheduler
命令行: "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
启动位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: InstallShield Update Service Scheduler, InstallShield Software Corporation

启动项: TkBellExe
命令行: "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
启动位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: RealNetworks Scheduler, RealNetworks, Inc.

启动项: Logitech Utility
命令行: Logi_MwX.Exe
启动位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: Logitech Launcher Application, Logitech Inc.

启动项: ISUSPM Startup
命令行: C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
启动位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: InstallShield Update Service Update Manager, InstallShield Software Corporation

启动项: ctfmon.exe
命令行: C:\WINDOWS\System32\ctfmon.exe
启动位置: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
文件信息: CTF Loader, Microsoft Corporation

启动项: Microsoft Office.lnk
命令行: C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l
启动位置: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
文件信息: Microsoft Office XP component, Microsoft Corporation

===============================================================
IE相关设置参数
===============================================================
[HKEY_LOCAL_MACHINE]Start Page=about:blank
===============================================================
IE插件列表
===============================================================
名称: NTIECatcher Class
文件: D:\Program Files\NetTransport 2\NTIEHelper.dll
类型: [BHO]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
CLSID: {C56CB6B0-0D96-11D6-8C65-B2868B609932}
文件信息: Net Transport IE Helper Module, Xi

名称: 全能助手广告拦截专家
文件: d:\program files\tweakassist\assistiebar.dll
类型: [ToolBar]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
CLSID: {ED51E9A3-16C5-4236-99E0-9F093B021433}
文件信息: 全能助手广告拦截专家, 全能助手工作室

名称: 全能助手广告拦截专家
文件: d:\program files\tweakassist\assistiebar.dll
类型: [UrlSearchHook]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
CLSID: {ED51E9A3-16C5-4236-99E0-9F093B021433}
文件信息: 全能助手广告拦截专家,

名称: Shockwave Flash Object
文件: C:\WINDOWS\System32\Macromed\Flash\Flash.OCX
类型: [CabHistory]
CLSID:
文件信息: , http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

===============================================================
IE Host内容
===============================================================

127.0.0.1      localhost
===============================================================
当前系统进程列表
===============================================================
进程名称: ati2evxx.exe, PID=876
命令行: C:\WINDOWS\System32\Ati2evxx.exe
进程路径: C:\WINDOWS\System32\Ati2evxx.exe
文件信息: ATI External Event Utility EXE Module, ATI Technologies Inc.

进程名称: ati2evxx.exe, PID=1432
命令行: Ati2evxx.exe -Client
进程路径: C:\WINDOWS\system32\Ati2evxx.exe
文件信息: ATI External Event Utility EXE Module, ATI Technologies Inc.

进程名称: explorer.exe, PID=1492
命令行: C:\WINDOWS\Explorer.EXE
进程路径: C:\WINDOWS\Explorer.EXE
文件信息: Windows Explorer, Microsoft Corporation

进程名称: VPTray.exe, PID=1692
命令行: "C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe"
进程路径: C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
文件信息: Symantec AntiVirus, Symantec Corporation

进程名称: issch.exe, PID=1704
命令行: "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
进程路径: C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
文件信息: InstallShield Update Service Scheduler, InstallShield Software Corporation

进程名称: realsched.exe, PID=1712
命令行: "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
进程路径: C:\Program Files\Common Files\Real\Update_OB\realsched.exe
文件信息: RealNetworks Scheduler, RealNetworks, Inc.

进程名称: em_exec.exe, PID=1816
命令行: "d:\Program Files\Logitech\MouseWare\system\em_exec.exe"
进程路径: d:\Program Files\Logitech\MouseWare\system\em_exec.exe
文件信息: Logitech Events Handler Application, Logitech Inc.

进程名称: DefWatch.exe, PID=2040
命令行: C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
进程路径: C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
文件信息: Virus Definition Daemon, Symantec Corporation

进程名称: ewidoctrl.exe, PID=212
命令行: "D:\Program Files\security suite\ewidoctrl.exe"
进程路径: D:\Program Files\security suite\ewidoctrl.exe
文件信息: ewido control, ewido networks

进程名称: mdm.exe, PID=188
命令行: "C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"
进程路径: C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
文件信息: Machine Debug Manager, Microsoft Corporation

进程名称: Rtvscan.exe, PID=304
命令行: C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
进程路径: C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
文件信息: Symantec AntiVirus, Symantec Corporation

进程名称: slserv.exe, PID=400
命令行: slserv.exe
进程路径: C:\WINDOWS\system32\slserv.exe
文件信息: User-Level Modem Service, 

进程名称: PDSched.exe, PID=684
命令行: "C:\Program Files\Raxco\PerfectDisk\PDSched.exe"
进程路径: C:\Program Files\Raxco\PerfectDisk\PDSched.exe
文件信息: PDSched Module, Raxco Software, Inc.

进程名称: BitComet_Gant.exe, PID=3840
命令行: "E:\bitcomet\BitComet_Gant.exe"
进程路径: E:\bitcomet\BitComet_Gant.exe
文件信息: BitComet - a BitTorrent Client, www.BitComet.com

进程名称: iexplore.exe, PID=2240
命令行: "C:\Program Files\Internet Explorer\iexplore.exe"
进程路径: C:\Program Files\Internet Explorer\iexplore.exe
文件信息: Internet Explorer, Microsoft Corporation

进程名称: NetTransport.exe, PID=1264
命令行: "D:\Program Files\NetTransport 2\NetTransport.exe"
进程路径: D:\Program Files\NetTransport 2\NetTransport.exe
文件信息: Net Transport Download Manager, Xi

进程名称: TweakAssistCenter.exe, PID=3008
命令行: "D:\Program Files\TweakAssist\TweakAssistCenter.exe"
进程路径: D:\Program Files\TweakAssist\TweakAssistCenter.exe
文件信息: 全能助手Windows优化王 2005, 全能助手工作室

进程名称: AssistNetSOS.exe, PID=1684
命令行: "D:\PROGRA~1\TWEAKA~1\AssistNetSOS.exe"
进程路径: D:\PROGRA~1\TWEAKA~1\AssistNetSOS.exe
文件信息: 全能助手系统诊断信息生成器, 全能助手工作室

===============================================================
系统已加载驱动列表(该列表不显示Microsoft等系统驱动)
===============================================================
内核驱动: C:\WINDOWS\System32\drivers\d347bus.sys
文件信息: PnP BIOS Extension, 

内核驱动:
文件信息: ,

内核驱动: C:\WINDOWS\System32\drivers\si3112r.sys
文件信息: Serial ATA RAID miniport driver , Silicon Image, Inc

内核驱动: C:\WINDOWS\System32\drivers\d347prt.sys
文件信息: SCSI miniport, 

内核驱动: C:\WINDOWS\System32\drivers\Defrag32b.sys
文件信息: Defragmentation Support Driver, Raxco Software, Inc.

内核驱动: C:\WINDOWS\System32\drivers\RecAgent.sys
文件信息: Recorder agent driver, 

内核驱动: C:\WINDOWS\System32\DRIVERS\slntamr.sys
文件信息: slntamr driver, 

内核驱动: C:\WINDOWS\System32\DRIVERS\SlWdmSup.sys
文件信息: SlWdmSup driver, 

内核驱动: C:\WINDOWS\System32\DRIVERS\Mtlmnt5.sys
文件信息: mtlmnt5 driver, 

内核驱动: C:\WINDOWS\System32\DRIVERS\ati2mtag.sys
文件信息: ATI Radeon WindowsNT Miniport Driver, ATI Technologies Inc.

内核驱动: C:\WINDOWS\System32\Drivers\LHidUsb.Sys
文件信息: Logitech USB Mouse Function Driver., Logitech, Inc.

内核驱动: C:\WINDOWS\System32\DRIVERS\LHidFlt2.Sys
文件信息: Logitech HID Filter Driver., Logitech, Inc.

内核驱动: C:\WINDOWS\System32\DRIVERS\LMouFlt2.Sys
文件信息: Logitech Filter Driver for Mouse Class., Logitech, Inc.

内核驱动: C:\WINDOWS\System32\ati2dvag.dll
文件信息: ATI Radeon WindowsNT Display Driver, ATI Technologies Inc.

内核驱动: C:\WINDOWS\System32\ati2cqag.dll
文件信息: Central Memory Manager / Queue Server Module, ATI Technologies Inc.

内核驱动: C:\WINDOWS\System32\ati3duag.dll
文件信息: ati3duag.dll, ATI Technologies Inc.

内核驱动: C:\WINDOWS\System32\ativvaxx.dll
文件信息: Radeon Video Acceleration Universal Driver, ATI Technologies Inc.

内核驱动: C:\WINDOWS\system32\drivers\aslm75.sys
文件信息: ,

内核驱动: C:\WINDOWS\System32\Drivers\Defrag32.SYS
文件信息: Defragmentation Support Driver, Raxco Software, Inc.

内核驱动: C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAPEL.SYS
文件信息: NAVAPEL, Symantec Corporation

内核驱动: C:\WINDOWS\System32\DRIVERS\secdrv.sys
文件信息: Macrovision SECURITY Driver, Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.

内核驱动: C:\Program Files\Symantec\SYMEVENT.SYS
文件信息: Symantec Event Library, Symantec Corporation

内核驱动: C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVAP.sys
文件信息: AutoProtect, Symantec Corporation

内核驱动: C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20051026.007\NAVEX15.sys
文件信息: AV Engine, Symantec Corporation

内核驱动: C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20051026.007\NAVENG.sys
文件信息: AV Engine, Symantec Corporation

ewido 说是 iexplore.exe 受感染，删除后还是在开机又会查出来。 上面的日志是我删除后的。
请各位高手出手相助阿。。。
小弟在此谢过了

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
能不能用HijackThis扫，看得眼都花了

收到了，以下就是
Logfile of HijackThis v1.99.2
Scan saved at 14:33:32, on 2005-10-30
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
d:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
D:\Program Files\security suite\ewidoctrl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
E:\bitcomet\BitComet_Gant.exe
E:\Storm Codec\mplayerc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\O_C\LOCALS~1\Temp\HijackThis.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\Rundll32.exe

R3 - URLSearchHook: 全能助手广告拦截专家 - {ED51E9A3-16C5-4236-99E0-

9F093B021433} - D:\Program Files\TweakAssist\AssistIEBar.dll
O2 - BHO: (no name) - {3E422F49-1566-40D3-B43D-077EF739AC32} - (no file)
O2 - BHO: BrowserHAP Class - {AEF6F648-78D8-4456-BEE7-5ADE23D209FD} -

C:\Program Files\HBClient\hapast.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} -

D:\Program Files\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 全能助手广告拦截专家 - {ED51E9A3-16C5-4236-99E0-9F093B021433}

- D:\Program Files\TweakAssist\AssistIEBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil

/RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32

\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE

/IMEName
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common

Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common

Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1

\isuspm.exe -startup
O4 - HKLM\..\Run: [hbpassport] C:\PROGRA~1\HBClient\hbast.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office10\OSA.EXE
O8 - Extra context menu item: 使用影音传送带下载 - D:\Program

Files\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - D:\Program

Files\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Excel(&x) -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program

Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program

Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 添加到广告杀手 - D:\Program

Files\TweakAssist\AdKiller.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program

Files\Tencent\QQ\SendMMS.htm
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1

\SYMANT~1\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - D:\Program

Files\security suite\ewidoctrl.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) -

Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program

Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program

Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32

\slserv.exe
O23 - Service: Wiserver - Unknown owner - C:\WINDOWS\Seiver.exe

【回复“bigbot”的帖子】
O23 - Service: Wiserver - Unknown owner - C:\WINDOWS\Seiver.exe
我的心得不妨试一下.
先用瑞星杀毒完后,点击 "开始"-"运行" 在运行对话框内输入 regedit.exe
进入注册表编辑器
删除HKEY_LOCAL_MACHINE\SYSTEM\current controlset\services\目录下的Seiver目录,把整个Seiver目录删除
不行告诉我.我就用这种方法杀的.