瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 菜鸟请求帮助,Backdoor.Gpigeon.2006.ih怎么才能彻底杀掉啊?
草莓小妞妞 - 2006-7-7 19:05:00
大虾们,拜托了,帮帮我吧~~我弄了一天了~~~
yanmings - 2006-7-7 19:08:00
http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来
草莓小妞妞 - 2006-7-7 21:26:00
HijackThis_815汉化版扫描日志 V1.99.1
保存于      21:17:03, 日期 2006-7-7
操作系统:  Windows XP SP1 (WinNT 5.01.2600)
浏览器:    Unable to get Internet Explorer version!

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\Rising\Rav\RavTask.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\sybase\ASE-12_5\bin\sqlsrvr.exe
C:\sybase\ASE-12_5\bin\monsrvr.exe
D:\Program Files\淘宝网\淘宝旺旺\WangWang.exe
D:\Program Files\Tencent\qq\QQ.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Tencent\qq\TIMPlatform.exe
D:\Program Files\Tencent\TT\TTraveler.exe
F:\Hijackthis1991zww\HijackThis1991zww.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O11 - Options group: [!CNS]  网络实名
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {F2EB8999-766E-4BF6-AAAD-188D398C0D0B} (PBActiveX40 Control) - http://szdl.cmbchina.com/download/pb45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D7D7EFF-613A-4012-B41E-D1D77B133B4C}: NameServer = 61.144.54.100,202.96.128.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{A85B3BD8-6EA8-4C58-8505-29FB6F644C87}: NameServer = 202.96.128.86 202.96.128.166
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: Sybase MONServer _ BILLGATES_MS (SYBMON_BILLGATES_MS) - Unknown owner - C:\sybase\ASE-12_5\bin\monsrvr.exe
O23 - NT 服务: Sybase SQLServer _ BILLGATES (SYBSQL_BILLGATES) - Unknown owner - C:\sybase\ASE-12_5\bin\sqlsrvr.exe
O23 - NT 服务: Sybase XPServer _ BILLGATES_XP (SYBXPS_BILLGATES_XP) - Unknown owner - C:\sybase\ASE-12_5\bin\xpserver.exe
独孤豪侠 - 2006-7-7 21:31:00
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\xboxcenter.dll
请到http://forum.ikaka.com/topic.asp?board=67&artid=5188931,下载,LSPFix.exe,WinsockXPFix这两个软件
运行LSPFix.exe
删除
upfdll.dll
附说明一份
LSPFix.exe这个软件主要用来辅助修复HijackThis扫描发现的O10项。
使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那一个O10项从左边转到右边,点“Finish”即可。(不过这之

前,需要在“I know what I`m doing”前面打勾。)修复后重启,如果无法上网,请运行WinsockXPFix,让它修复一下。


注:上面说的两个一定要全部下载下来后才能这样做,否则上不了网就麻烦了


上面操作在安全模式下进行.




另:日志里没看到鸽子.请问杀软是怎么报的,路径在哪?
草莓小妞妞 - 2006-7-7 21:51:00
本来是有鸽子的,我有上报给瑞星,通过邮件,开始用瑞星杀出来Backdoor.Gpigeon.2006.ih这个病毒,有8个文件我也是删了些文件,然后停了些服务,反正我自己都没有搞懂搞了什么,呵呵,然后瑞星再杀就没有这些病毒了~汗~~
草莓小妞妞 - 2006-7-7 21:56:00
那些文件都是在sysem32里面,我查出来后用冰刀删掉了,还在run里面删了个soundman.exe,这个也是其中报的一个文件.
独孤豪侠 - 2006-7-7 21:57:00
有没有瑞星的报告.
截个图上来.
草莓小妞妞 - 2006-7-7 22:19:00
晕死,不知道怎么弄的,历史记录怎么出不来了
草莓小妞妞 - 2006-7-7 22:21:00
还好,我有用EXCEL导出~~
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:03手动扫描winlogon.exe>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:04手动扫描Explorer.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:04手动扫描VM303_STI.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:04手动扫描SOUNDMAN.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:04手动扫描ctfmon.exe>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:04手动扫描IEXPLORE.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:05手动扫描SRIECLI.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:05手动扫描RsLogVw.exe>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:27手动扫描winlogon.exe>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:28手动扫描Explorer.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:29手动扫描VM303_STI.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:29手动扫描SOUNDMAN.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:29手动扫描ctfmon.exe>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:29手动扫描IEXPLORE.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:29手动扫描SRIECLI.EXE>>C:\Program Files\Hgzcool\coolKey.DLL本机
Backdoor.Gpigeon.2006.ih清除成功2006-07-07 11:30手动扫描TTraveler.exe>>C:\Program Files\Hgzcool\coolKey.DLL本机
草莓小妞妞 - 2006-7-7 22:33:00
还有一个很笨的问题,小女子不小心把IE给删掉了,而且是把
internet explorer里面4个执行文件删了,再重装都不行~怎么办?汗~
黑灯黑火 - 2006-7-7 22:45:00
C:\Program Files\Hgzcool
这个文件夹里的东西都删了吧~~

草莓小妞妞 - 2006-7-7 22:49:00
删了,呵呵~
黑灯黑火 - 2006-7-7 22:52:00

怎么连IE都给删了~~~


如果实在装不上去~就试试其它浏览器吧~

另,有没有试过从别人(相同系统)的电脑上把这个IE的文件夹复制过来,(现在也只能是把死马当作活马医了~)
yanmings - 2006-7-7 22:57:00
系统还原试试
黑灯黑火 - 2006-7-7 23:03:00
系统还原好像对删除了的文件是无法恢复的吧~~
除非做过ghost备份~~还差不多~
草莓小妞妞 - 2006-7-7 23:06:00
俺下了个IE卸载的软件,卸载了正在重新装,我一直都是用TT上网,感觉快些,但是IE不在了系统会不稳定的~~现在正在装,嘿嘿,希望能成功~~谢谢各位的帮忙~呵呵
草莓小妞妞 - 2006-7-7 23:08:00
孤独,不好意思我,我用你的方法作了,但这些未知文件还在哦~怎么办呢?
1
查看完整版本: 菜鸟请求帮助,Backdoor.Gpigeon.2006.ih怎么才能彻底杀掉啊?
© 2000 - 2026 Rising Corp. Ltd.