瑞星卡卡安全论坛
火柴头头 - 2006-10-3 16:20:00
杀毒软件显示病毒名为Backdoor.Gpigeon.hyv已清除,但是打开文件夹,病毒文件还在。
病毒复制大部分点击过的exe文件,复制的文件名为(原名+~exe)机器会突然超卡。部分程序损坏如跑跑卡丁车等。我用还原精灵还原系统病毒还在555555555崩溃求救 SOS
附件:
7607142006103161159.bmp
仙剑VS景天 - 2006-10-3 16:23:00
帅哥,全格吧
火柴头头 - 2006-10-3 16:27:00
郁闷
newcenturymoon - 2006-10-3 16:33:00
请到http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis
下载后运行HijackThis.rar,再运行HijackThis.exe
单机"扫描日志并保存日志"
把保存的日志复制粘贴上来.
newcenturymoon - 2006-10-3 16:33:00
| 引用: |
【仙剑VS景天的贴子】帅哥,全格吧
……………… |
不要瞎来
仙剑VS景天 - 2006-10-3 16:37:00
他EXE文件已经感染了,就算杀毒了也得重装
火柴头头 - 2006-10-3 16:50:00
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Thunder Network\ThunderMini\ThunderMini.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ChinaNet\VnetClient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Thunder Network\Thunder\Thunder.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
D:\ie\HijackThis1991zww.exe
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: SafeMe Internet Explorer Helper - {3AE06CEE-58A6-4F5F-AF89-6C5350842F16} - C:\WINDOWS\system32\SafeHelper12.dll
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\qq\QQIEHelper.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O2 - BHO: (no name) - {ACC24EEC-037F-4B88-8D76-45EC1B2E64F1} - C:\WINDOWS\system32\aspaerdev.dll
O2 - BHO: conimehlp Class - {B10343BD-1DC6-442F-9BA2-D44C708CEE83} - C:\WINDOWS\system32\mskey32.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [thunder_mini] C:\Program Files\Thunder Network\ThunderMini\ThunderMini.exe
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - 启动项HKLM\\RunOnce: [uninsrest] C:\DOCUME~1\WELCOM~1\LOCALS~1\Temp\uninrest.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: IntelFile.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: &使用迷你迅雷下载 - C:\Program Files\Thunder Network\ThunderMini\geturl.htm
O8 - IE右键菜单中的新增项目: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的“工具”菜单项: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\qq\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\qq\QQ.EXE
O9 - 浏览器额外的按钮: 易趣购物 - {DE607145-AC19-425e-869A-9D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607145-AC19-425e-869A-9D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\qq\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\qq\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB368150-A67B-44B1-A6C8-1433A0700CEE}: NameServer = 219.150.150.150 222.88.88.88
O23 - NT 服务: GrayPigeonServer - Unknown owner - C:\WINDOWS\G_Server2006.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: Remote Desktop Help Session (svchost) - Unknown owner - C:\WINDOWS\system32\explorer.exe
newcenturymoon - 2006-10-3 16:52:00
O23 - NT 服务: Remote Desktop Help Session (svchost) - Unknown owner - C:\WINDOWS\system32\explorer.exe
O23 - NT 服务: GrayPigeonServer - Unknown owner - C:\WINDOWS\G_Server2006.exe
修复
重启后删除对应文件
如果exe 文件大部分都被改成~exe就重装吧
火柴头头 - 2006-10-3 16:55:00
晕啊没别的办法了吗?把修改的东西删了不可以吗?
newcenturymoon - 2006-10-3 16:58:00
如果 被修改的东西很多 你都删掉了 那跟重装有什么区别那
火柴头头 - 2006-10-3 17:06:00
是需要把修改文件删掉,还是要重新安装?最少不用全格吧?
仙剑VS景天 - 2006-10-3 17:13:00
| 引用: |
【火柴头头的贴子】是需要把修改文件删掉,还是要重新安装?最少不用全格吧?
……………… |
全格到不用,如果感染了大部分文件的话(只是C盘感染的话)重装系统就好了,如果少就删了吧,别的盘要有要是不多也就删了就好了,如果你的EXE文件全挂了,那就和全格没什么区别了
火柴头头 - 2006-10-3 17:28:00
怎么看文件有没有感染?
仙剑VS景天 - 2006-10-3 17:29:00
| 引用: |
【火柴头头的贴子】怎么看文件有没有感染?
……………… |
出没出同名文件就知道了啊
火柴头头 - 2006-10-3 17:38:00
O23 - NT 服务: Remote Desktop Help Session (svchost) - Unknown owner - C:\WINDOWS\system32\explorer.exe
O23 - NT 服务: GrayPigeonServer - Unknown owner - C:\WINDOWS\G_Server2006.exe
修复
重启后删除对应文件
找不到对应文件啊!!还往外弹窗口。。。。
火柴头头 - 2006-10-3 17:44:00
新浪、搜狐、百度、TOM、雅虎合祝大家国庆中秋快乐!
TMD这是弹的窗口的标题
仙剑VS景天 - 2006-10-3 17:46:00
晕~~~~~~~~~~~~~~~用超级兔子
影子110 - 2006-10-3 17:49:00
以下操作需要断网时操作~(鸽子是个远程监控软件~~)
打开 我的电脑》工具》文件夹选项》查看》显示所有文件,不隐藏受保护的操作系统文件》确定
我的电脑》工具》文件夹选项》查看》去掉“隐藏已知文件类型的扩展名”前的勾
开始 》 运行 》输入 Regedit.exe 》确定
打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名
svchost和 GrayPigeonServer
查找并删除~
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\G_Server2006.exe
以及同文件夹内创建时间相同文件名类似的文件,
另,用SREng再扫个日志~
http://www.kztechs.com/
火柴头头 - 2006-10-3 17:56:00
谢谢了 全格了吧 病毒文件还在文件名IEXPLORE。EXE路径C:\Program Files\Internet Explorer
火柴头头 - 2006-10-3 18:15:00
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\G_Server2006.exe
删不掉啊
仙剑VS景天 - 2006-10-3 18:16:00
你不是要全格么?
火柴头头 - 2006-10-3 18:20:00
555555我也不想全格啊!!我的正版瑞星盘和本本都丢了!格了就没了55555
CAPTjoe - 2006-10-3 18:34:00
| 引用: |
【火柴头头的贴子】C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\G_Server2006.exe
删不掉啊
……………… |
进入安全模式才行
火柴头头 - 2006-10-3 19:04:00
晕 安全模式也删不掉啊 现在连显示隐藏文件的选项也改不了了 倒~~~~~~~~~~~~~~~~~~
petty - 2006-10-3 19:35:00
格吧
1
© 2000 - 2026 Rising Corp. Ltd.