关于杀毒软件查杀不出的病毒的原因

关于杀毒软件查杀不出的病毒的原因
病毒多种多样，再加上有些人为了避开杀毒软件的查杀故意给木马病毒加上各种不同的壳，造成现在网络上不断有新的病毒变种出现。尽管杀毒软件公司一直在不遗余力地收集最新的病毒样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现异常症状但用杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。
   如果你觉得你的系统有异常的话，可以去下载hijackthis软件，扫描一下系统，如果你不会看不要紧，可以把日志发到这个帖子下，让大家帮忙看看。
   我举个例子吧～
hijackthis.log
Logfile of HijackThis v1.99.1
Scan saved at 17:12:00, on 2006-3-28
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32csrss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
c:program filesrisingrfwrfwproxy.exe
c:program filesrisingrfwrfwsrv.exe
C:WINNTsystem32svchost.exe
C:Program FilesRisingRavCCenter.exe
C:Program FilesRisingRavRavmond.exe
C:WINNTsystem32spoolsv.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32regsvc.exe
C:WINNTsystem32MSTask.exe
C:Program FilesRisingRavRavStub.exe
C:Program FilesVMwareVMware Workstationvmware-authd.exe
C:Program FilesCommon FilesVMwareVMware Virtual Image Editingvmount2.exe
C:WINNTsystem32vmnat.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32vmnetdhcp.exe
C:WINNTExplorer.EXE
c:program filesrisingrfwRfwMain.exe
C:Program FilesRisingRavRavTask.exe
C:Program FilesRisingRavRavmon.exe
C:WINNTsystem32Internat.exe
C:WINNTsystem32dllhost.exe
C:Program FilesChinaNetVnetClient.exe
D:Program FilesMaxthonMaxthon.exe
C:WINNTsystem32conime.exe
C:WINNTsystem32NOTEPAD.EXE
E:系统工具杀毒工具hijackthis汉化版1.99.1.exe
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:WINNTsystem32xunleibho_v14.dll
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:PROGRA~1chinanetVNETTR~1.DLL
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:Program FilesTencentQQQQIEHelper.dll
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:Program FilesKV2005KvShell.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:PROGRA~1FlashFXPIEFlash.dll
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINNTsystem32msdxm.ocx
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:Program FilesKV2005KvShell.dll
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [RfwMain] \"C:Program FilesRisingRfwrfwmain.exe\" -Startup
O4 - HKLM..Run: [RavTask] \"C:Program FilesRisingRavRavTask.exe\" -system
O4 - HKLM..Run: [MoveSearch] C:Program FilesHuaCihuacizsearch.exe
O4 - HKCU..Run: [Internat.exe] Internat.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: &使用迅雷下载 - d:Program FilesThunder NetworkThundergeturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - d:Program FilesThunder NetworkThundergetallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:Program FilesTencentQQAddToNetDisk.htm
O8 - Extra context menu item: 在Foxmail中添加该RSS频道/频道组 - res://C:WINNTsystem32fmrsslink.dll/201
O8 - Extra context menu item: 添加到QQ自定义面板 - D:Program FilesTencentQQAddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:Program FilesTencentQQAddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:Program FilesTencentQQSendMMS.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINNTwebrelated.htm
O9 - Extra \'Tools\' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINNTwebrelated.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:Program FilesIrfanViewEbayEbay.htm
O10 - Unknown file in Winsock LSP: c:winntsystem32kvwspxp.dll
O10 - Unknown file in Winsock LSP: c:winntsystem32kvwspxp.dll
O10 - Unknown file in Winsock LSP: c:winntsystem32kvwspxp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1140711225512
O17 - HKLMSystemCCSServicesTcpip..{AC14D482-B731-4DBA-A006-FABA850F0A67}: NameServer = 218.85.157.99 202.101.103.54
O20 - Winlogon Notify: NavLogon - C:WINNT
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:WINNTSystem32dmadmin.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINNTG_Server.exe
O23 - Service: KVSrvXP - JiangMin New Tech Ltd. - D:PROGRA~1KV2005KVSrvXP.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:Program FilesCommon FilesMacromedia SharedServiceMacromedia Licensing.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:program filesrisingrfwrfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:program filesrisingrfwrfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:Program FilesRisingRavCCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:Program FilesRisingRavRavmond.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:Program FilesVMwareVMware Workstationvmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:WINNTsystem32vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:Program FilesCommon FilesVMwareVMware Virtual Image Editingvmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:WINNTsystem32vmnat.exe
这是灰鸽子病毒，鸽子变种很多，查杀方法各异。本例用于下述情形：
（1）杀软报告灰鸽子但杀不净；且（2）HijackThis日志中发现异常O23项（如：O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINNTG_Server.exe）；且（3）灰鸽子的文件在%windows% 目录下。
这里是O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINNTG_Server.exe，用hijackthis选中，修复，如果是正在运行那重启后修复～～
如果还不能修复那我们只能手工来删除了！！
这类灰鸽子的手工查杀流程：
1、打开注册表编辑器，展开：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。删除灰鸽子的服务项。
怎么确认灰鸽子服务项的名字？看HijackThis日志O23的提示。如：O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) ，括弧中的GrayPigeonServer就是你要删除的灰鸽子服务项。
如果HijackThis日志O23的提示中没有括弧中的内容，紧接在Service:后面的内容就是灰鸽子的服务名——删！
2、重启系统。为什么要重启？ 因为这类鸽子没有注册表监控。删除其服务项后，重启系统，鸽子就不能运行了。这时，鸽子的文件可以随便删。
3、显示隐藏文件（依次打开，开始－设置－控制面板－文件夹选项－查看，依次取消－隐藏受保护的操作系统文件（推荐）－显示所有文件和文件夹－隐藏已知文件类型的扩展名），删除鸽子的文件。
这类鸽子的文件都在%windows% 目录下。%windows%是什么意思？%windows%是个变量符号，表示“WINDOWS”目录。因为每个人的系统不一定都安装在相同的分区，因此，只能这么表示。如果你的系统安装在C盘，%windows%指的是C:WINDOWS；如果你的系统安装在D盘，%windows%指D:WINDOWS，依此类推。(WIN2K则为WINNT)
怎么确认鸽子的文件名？还是看HijackThis日志。Unknown owner - 后面的内容就是鸽子文件的所在位置及其文件名。本例是C:WINDOWSG_Server.exe）。
注意：除了可执行文件.exe外（本例是G_Server.exe），%WINDOWS%下可能还有包含可执行文件名的.dll文件（以本例为例，这些dll的文件名可能有G_Server.dll、G_Server_hook.dll、G_ServerKey.dll），这些文件数目不定。只要有，也要删除。
</p>

[1]