出发辣妹内阁:瑞星提示我中了Backdoor.Gpigeon.uql 木马，文件名是IEXPLORE。EXE

中了木马不要着急，我来帮你：
木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！
由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：

1.)检查注册表
看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell
Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方
比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。
4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里
C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。
6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动
所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

另外，你也可以试试用下面的办法来解决：
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是无法遁身的。开启的非法进程会以红色显示出来。

至于杀毒软件，应该说各人有各人的喜好，下面给出的链接上你看看比较一下：
六款主流杀毒软件横向评测
http://it.sohu.com/2004/05/19/39/article220183986.shtml

消费者该如何选择？六款杀毒软件横向评测(这个要详细些)
http://tech.tom.com/1380/1383/2005513-197230.html

C:\WINDOWS\System32\smss.exe Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe Windows Service Controller，管理Windows服务。大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务，可以看到有很多服务都是在调用service.exe。正常的services.exe应位于%System%文件夹中，如果在%Windir%\Connection Wizard\Status中发现services.exe和csrss.exe、smss.exe的话，则是中了Worm_Sober.N蠕虫病毒。病毒运行后，显示一下对话框，看上去是一个错误信息。同时，在%Windir%\Connection Wizard\Status和%system%目录下生成多个文件。病毒会在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用的自带的SMTP向这些地址发送带毒的电子邮件进行传播。
C:\WINDOWS\system32\lsass.exe 本地安全权限服务控制Windows安全机制。管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序等。它会为使用Winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的Shell。其他的由用户初始化的进程会继承这个令牌的。而Windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使LSASS.EXE服务崩溃，系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32，一些病毒，如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。

C:\WINDOWS\system32\svchost.exe ervice Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程，一个是RPCSS(Remote Procedure Call)服务进程，另外一个则是由很多服务共享的一个Svchost.exe；而在windows XP中，则一般有4个以上的Svchost.exe服务进程；Windows 2003 server中则更多。Svchost.exe是一个系统的核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。如果您怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下找到一个Svchost.exe程序，如果您在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。
C:\Program Files\Rising\Rav\CCenter.exe 瑞星信息中心，是瑞星杀毒软件的组件。
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe 瑞星实时监控SERVICE程序，负责为多用户打开小伞，增强保护小伞不被关闭。注意，正常的瑞星进程应位于瑞星杀毒软件安装文件夹中，而某些病毒可能冒其名以骗过用户，如Worm_Lovgate.AF(爱之门)蠕虫病毒，它则位于System32中。
C:\WINDOWS\Explorer.EXE 可能有问题
C:\WINDOWS\system32\spoolsv.exe Printer Spooler Service，Windows打印任务控制程序，用以打印机就绪。缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
C:\Program Files\Common Files\Autodesk 不清楚Shared\Service\AdskScSrv.exe 安装了Autodesk系列产品(如AutoCAD、3D Studio VIZ、Autodesk VIZ等)后出现的进程。该程序位于C:\Program Files\Common Files\Autodesk Shared\中，该目录用于存放Autodesk系列产品的共用程序。
C:\Program Files\CPUCooL\CooLSrv.exe CPUCooL是一款运行在Windows环境下的CPU降温软件。它提供支持在Windows环境中最佳化CPU功能(支持AMD、Cyrics、Intel)和监视、显示主机版温度、风扇速度和电压(支持Intel、SIS、VIA、ALI等晶片组)。
C:\Program Files\Common 不清楚Files\Real\Update_OB\realsched.exe RealPlayer的自动更新及检测服务，这个服务可以从RealPlayer的服务器上获取一些版本更新等消息。
C:\Program Files\D-Tools\daemon.exe Daemon Tools是一个不错的模拟备份并且合并保护盘的软件，可以备份SafeDisc保护的软件，可以打开CUE, ISO, IMB, CCD, BWT, MDS, CDI, VCD等这些虚拟光驱的镜像文件。有了它，您就可以把光盘镜像直接变成一个光盘盘符，也就是说您可以不用把镜像释放到硬盘或者再刻出光盘就可以当做光驱一样用了。
C:\WINDOWS\system32\nvsvc32.exe NVIDIA Driver Helper Service，NVIDA显卡驱动相关程序。
C:\WINDOWS\system32\rundll32.exe Windows RUNDLL32 Helper，Windows Rundll32为了需要调用DLLs的程序。该文件可有被QQ白骨精病毒所感染，应该先结束此进程，然后删除%SysDri%\Rundll32.exe文件，再去找一个正常的Rundll32.exe恢复即可。QQ白骨精病毒是一种用VC编写的发送QQ尾巴和盗取信息的木马病毒，它通过在QQ上发送以诱惑性文字为名的EXE文件(如：超级MM，超级FLASH，请您笑纳.EXE)来传播。病毒会搜索QQ好友并自动发送病毒文件，并盗取被感染的电脑中的QQ密码。若中了此病毒请用KavQQ最新版杀毒。
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe 雅虎中国Yahoo China出品雅虎助手软件相关升级模块。
C:\WINDOWS\system32\RunDLL32.exe Windows RUNDLL32 Helper，Windows Rundll32为了需要调用DLLs的程序。该文件可有被QQ白骨精病毒所感染，应该先结束此进程，然后删除%SysDri%\Rundll32.exe文件，再去找一个正常的Rundll32.exe恢复即可。QQ白骨精病毒是一种用VC编写的发送QQ尾巴和盗取信息的木马病毒，它通过在QQ上发送以诱惑性文字为名的EXE文件(如：超级MM，超级FLASH，请您笑纳.EXE)来传播。病毒会搜索QQ好友并自动发送病毒文件，并盗取被感染的电脑中的QQ密码。若中了此病毒请用KavQQ最新版杀毒。
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe 雅虎助手，流氓软件
C:\Program Files\Rising\Rav\RavTask.exe 瑞星相关进程。
C:\Program Files\Rising\Rav\Ravmon.exe 瑞星实时监控SHELL程序(就是任务栏里的那个小绿伞)
C:\WINDOWS\system32\ctfmon.exe Alternative User Input Services，控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
C:\Program Files\Rising\Rav\Rav.exe 瑞星进程。
C:\WINDOWS\system32\rundll32.exe Windows RUNDLL32 Helper，Windows Rundll32为了需要调用DLLs的程序。该文件可有被QQ白骨精病毒所感染，应该先结束此进程，然后删除%SysDri%\Rundll32.exe文件，再去找一个正常的Rundll32.exe恢复即可。QQ白骨精病毒是一种用VC编写的发送QQ尾巴和盗取信息的木马病毒，它通过在QQ上发送以诱惑性文字为名的EXE文件(如：超级MM，超级FLASH，请您笑纳.EXE)来传播。病毒会搜索QQ好友并自动发送病毒文件，并盗取被感染的电脑中的QQ密码。若中了此病毒请用KavQQ最新版杀毒。
C:\Program Files\Thunder 迅雷号称是最快的下载工具，它是一款最新型的基于P2SP技术的下载软件，兼容传统的P2S和现在流行的P2P下载技术。尤其在下载游戏、工具、MP3音乐方面有着突出的效果。迅雷的最大特色就是其超群的下载速度，优于别的同类软件。迅雷针对宽带用户做了特别的优化，能够充分利用宽带上网的特点，带给用户高速下载的全新体验！而且在用户文件管理方面提供了比较完备的支持，尤其是对于用户比较关注的配置、代理服务器、文件类别管理、批量下载等方面进行了扩充和完善，使得迅雷可以满足中、高级下载用户的大部分专业需求。Network\Thunder\Thunder.exe 迅雷号称是最快的下载工具，它是一款最新型的基于P2SP技术的下载软件，兼容传统的P2S和现在流行的P2P下载技术。尤其在下载游戏、工具、MP3音乐方面有着突出的效果。迅雷的最大特色就是其超群的下载速度，优于别的同类软件。迅雷针对宽带用户做了特别的优化，能够充分利用宽带上网的特点，带给用户高速下载的全新体验！而且在用户文件管理方面提供了比较完备的支持，尤其是对于用户比较关注的配置、代理服务器、文件类别管理、批量下载等方面进行了扩充和完善，使得迅雷可以满足中、高级下载用户的大部分专业需求。
C:\DOCUME~1\cosml\LOCALS~1\Temp\HijackThis.exe Merijn Hijackthis程序，用于监视您的浏览器配置和插件。Hijackthis能够将绑架您浏览器的程序揪出来并且移除之。或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，再让您判断哪个程序是“肇事者”，然后将其除去。
C:\WINDOWS\system32\Rundll32.exe Windows RUNDLL32 Helper，Windows Rundll32为了需要调用DLLs的程序。该文件可有被QQ白骨精病毒所感染，应该先结束此进程，然后删除%SysDri%\Rundll32.exe文件，再去找一个正常的Rundll32.exe恢复即可。QQ白骨精病毒是一种用VC编写的发送QQ尾巴和盗取信息的木马病毒，它通过在QQ上发送以诱惑性文字为名的EXE文件(如：超级MM，超级FLASH，请您笑纳.EXE)来传播。病毒会搜索QQ好友并自动发送病毒文件，并盗取被感染的电脑中的QQ密码。若中了此病毒请用KavQQ最新版杀毒。
C:\WINDOWS\system32\Rundll32.exe

手工查杀灰鸽子2005的关键是找到病毒注册的系统服务名及病毒文件X.exe所在位置。用HijackThis 1.99.0扫日志即可达到此目的（见附图）。HijackThis 1.99.0的下载地址：http://forum.ikaka.com/download.asp?id=5188960。这步操作在普通WINDOWS模式下即可完成，不一定非在“安全模式”下完成。

安全模式 删除

不行的话 你可以下个 木马专杀 杀木马 很有效果

加我QQ也可以 我把木马专杀 传给你 81891819

不用那么麻烦
我以前中过的
用金山毒霸就可以了

瑞星2006防火墙自定义规则包
网址：杭州志愿者论坛