敖霜雪 - 2006-4-24 19:43:00
最近每次开机刚显示桌面,瑞星监控就出来发现病毒Backdoor.Gpigeon.5.bw 能删掉,但是下次开机又有了,而且用瑞星查毒没有发现什么,但CPU一直是100%,不知道要怎么办!
酷酷ku - 2006-4-24 19:51:00
【回复“敖霜雪”的帖子】
在安全模式下试试,不行的话扫个日志贴上来找高手看看。
叶·幽思 - 2006-4-24 20:01:00
有的病毒瑞星不一定能够查得到,多用几种杀毒软件试试(开机不要同时运行,随时监控不要一起开),安全模式下进行,顺便检测注册表启动项有没有什么你不熟悉。
敖霜雪 - 2006-4-25 18:40:00
安全模式下没有解决!日志要怎么找啊?能查看进程的有什么好的软件!
轩辕小聪 - 2006-4-25 18:41:00
http://forum.ikaka.com/topic.asp?board=28&artid=6979213第1楼下载HijackThis导出全部日志。如果不行再用别的。
敖霜雪 - 2006-4-25 19:02:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 18:59:05, 日期 2006-4-25
操作系统: Windows XP SP2, v.2096 (WinNT 5.01.2600)
浏览器: Unable to get Internet Explorer version!
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
d:\pc\Ahead\InCD\InCDsrv.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Legend\联想键盘驱动\TGESrvLogon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
D:\pc\Thunder Network\Thunder.exe
D:\pc\Tencent\TT\TTraveler.exe
E:\下载02\2535952005811174944\HijackThis1991zww.exe
R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
R3 - URLSearchHook: (no name) - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pc\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: TuoTuHelper.LDown - {0BECAB3A-E1F8-45E6-8332-38DD750EBA01} - d:\pc\Tuotu\TuoTuHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\pc\Tencent\QQ\QQIEHelper.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [PHIME2002ASync] rem C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] rem C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SiS KHooker] rem C:\WINDOWS\system32\khooker.exe
O4 - 启动项HKLM\\Run: [SiSUSBRG] rem C:\WINDOWS\sisUSBrg.exe
O4 - 启动项HKLM\\Run: [SoundMan] rem soundman.exe
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\pc\Thunder Network\getallurl.htm
O8 - IE右键菜单中的新增项目: 使用脱兔下载 - d:\pc\Tuotu\TT_one.htm
O9 - 浏览器额外的按钮: (no name) - {35980F6E-A137-4E50-953D-813BB8556899}? - (no file)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\pc\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\pc\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: 脱兔下载 - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B} - d:\pc\Tuotu\TuoTu.exe
O9 - 浏览器额外的“工具”菜单项: &TuoTu - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B} - d:\pc\Tuotu\TuoTu.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\pc\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\pc\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: 唯一下载 - {11111111-2222-3333-4444-551553555555} - http://www.down8.org (file missing) (HKCU)
O9 - 浏览器额外的“工具”菜单项: 唯一下载 - {11111111-2222-3333-4444-551553555555} - http://www.down8.org (file missing) (HKCU)
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {2761225D-F0F2-44E8-A2C9-476FB6A3316A} - http://dl_dir.qq.com/qqtools/trsetup.exe
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: InCD Helper (InCDsrv) - Nero AG - d:\pc\Ahead\InCD\InCDsrv.exe
O23 - NT 服务: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI\naviagent.exe" uimode=agentupdate (file missing)
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: System.exe (System.exer) - Unknown owner - C:\WINDOWS\System.exe
O23 - NT 服务: TGE CardReader Mgr Host v2 (TGECardReaderMgrHost.2) - Unknown owner - C:\Program Files\Legend\联想键盘驱动\TGESrvLogon.exe
轩辕小聪 - 2006-4-25 19:03:00
O23 - NT 服务: System.exe (System.exer) - Unknown owner - C:\WINDOWS\System.exe
这一项是灰鸽子。参考http://forum.ikaka.com/topic.asp?board=28&artid=7713905处理。有什么不明白的再跟帖。
敖霜雪 - 2006-4-25 19:29:00
怎么确认灰鸽子服务项的名字?看HijackThis日志O23的提示。如:O23 - Service: svchost (Windows Access),括弧中的Windows Access就是你要删除的灰鸽子服务项。
那我的就是O23 - NT 服务: System.exe (System.exer) - Unknown owner - C:\WINDOWS\System.exe
第一步要在注册表删(System.exer)
第二步重启动
第三步是不是要删C:\WINDOWS\System.exe
轩辕小聪 - 2006-4-25 19:46:00
正确。
接着看下面一段话,用在你的例子就是:
除了C:\WINDOWS\System.exe,还可能有:
C:\WINDOWS\System.dll
C:\WINDOWS\System_hook.dll
C:\WINDOWS\SystemKey.dll
这些,有多少删多少。
敖霜雪 - 2006-4-25 20:14:00
没有找到C:\WINDOWS\System.exe,
C:\WINDOWS\System.dll
C:\WINDOWS\System_hook.dll
C:\WINDOWS\SystemKey.dll
只有C:\WINDOWS\System一个文件夹和system.ini和 system32a2.sys两个文件
怎么办啊
轩辕小聪 - 2006-4-25 20:18:00
你找到的那几个不是。
【小常识】
若文件找不到或无法删除文件
建议进入安全模式下删除
打开我的电脑
在工具栏中点击--工具--文件夹选项--查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件(推荐)”前的勾去掉
然后再进行查找一下
敖霜雪 - 2006-4-25 20:27:00
感谢感谢感谢!上面的问题已经解决了!
又发现了新病毒,就在刚才重启后第一次打开浏览器时瑞星提示,
文件:C:\Documents and Settings\QM\Local Settings\Temporary Internet Files\Content.IE5
病毒名称:Exploit.Realplayer
这个要怎么办啊,好象也是木马!
轩辕小聪 - 2006-4-25 20:35:00
清空IE临时文件夹。
© 2000 - 2026 Rising Corp. Ltd.