瑞星卡卡安全论坛

2008-07-16 12:27:48, calc.exe>>C:\WINDOWS\system32\calc.exe ->Backdoor.Win32.Gpigeon2007.mpp
2008-07-16 12:27:47, IEXPLORE.EXE>>C:\program files\internet explorer\IEXPLORE.EXE ->Backdoor.Win32.Gpigeon2007.mpp
2008-07-16 11:36:57, calc.exe>>C:\WINDOWS\system32\calc.exe ->Backdoor.Win32.Gpigeon2007.mpp
2008-07-16 11:36:56, IEXPLORE.EXE>>C:\program files\internet explorer\IEXPLORE.EXE ->Backdoor.Win32.Gpigeon2007.mpp
2008-07-16 10:46:31, calc.exe>>C:\WINDOWS\system32\calc.exe ->Backdoor.Win32.Gpigeon2007.mpp
2008-07-16 10:46:31, IEXPLORE.EXE>>C:\program files\internet explorer\IEXPLORE.EXE ->Backdoor.Win32.Gpigeon2007.mpp
2008-07-16 10:32:39, calc.exe>>C:\WINDOWS\system32\calc.exe ->Backdoor.Win32.Gpigeon2007.mpp
2008-07-16 10:32:38, IEXPLORE.EXE>>C:\program files\internet explorer\IEXPLORE.EXE ->Backdoor.Win32.Gpigeon2007.mpp

重启就有。

下附上SRENG 系统日志。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; MAXTHON 2.0)

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\cryptwan.dll

下面这个
<C:\WINDOWS\system32\svchost.exe -k wzrgfe-->%SystemRoot%\System32\ghphds.dll>
里面的ghphds.dll觉得怪怪的

断开网络 删除一下注册表项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<360Safetray><C:\Program Files\360safe\safemon\360tray.exe /start>  [(Verified)Qizhi Software (beijing) Co. Ltd]

[wzrgfe / wzrgfe][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k wzrgfe-->%SystemRoot%\System32\ghphds.dll><N/A>

重启计算机 删除下列文件
C:\WINDOWS\system32\CryptWan.dll
C:\Program Files\360safe\safemon\360tray.exe] 

    [C:\Program Files\360safe\safemon\safemon.dll] 
    [C:\Program Files\360safe\safemon\SafeKrnl.dll]
    [C:\Program Files\360safe\AntiAdwa.dll] 
    [C:\Program Files\360safe\live.dll] 
升级杀毒软件 全盘查杀

删除服务
[Windows Management Instrumentations / Windows Management][Stopped/Auto Start]
  <C:\Program Files\Common Files\Microsoft Shared\MSINFO\mstcs.exe><N/A>


更新杀软全盘杀毒

谢谢各位 非常感谢

C:\WINDOWS\system32\CryptWan.dll这个文件请将该文件压缩，把压缩包提交到“可疑文件交流区”鉴定，同时，将压缩包也发到http://www.virscan.org鉴定下，麻烦给出鉴定结果。

如果经过以上鉴定为病毒，建议（如果经鉴定不是病毒，请从第2步开始操作）：

1、用强删工具删除C:\WINDOWS\system32\CryptWan.dll：

1、下载iexplore.rar及calc.rar，然后拔掉网线；

2、将iexplore.rar解压缩到c:\program files\internet explorer目录下，替换同名文件；

3、将calc.rar解压缩到c:\windows\system32目录下，替换同名文件；

4、重启电脑，全盘杀毒。

附件: iexplore.rar

附件: calc.rar