瑞星卡卡安全论坛

Backdoor.Win32.Gpigeon2008.n这个毒，瑞星每次都查出来，结果也说“清楚成功”。但每次重新杀毒又都能杀出来，听说这个毒危害很大。怎么办啊？

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CNCDialer)

附件: SREngLOG.log

请高手指教啊！

到大的软件站，如天空，太平洋，下载2.6正式版版的SReng（推荐）

http://www.skycn.com/soft/45002.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)
日志以附件上传，贴到反病毒区或流行病毒区
PS：如主程序SREng**.exe无法运行,导致无法扫描日志

将主程序改名为小狮子.bat

如SReng还无法正常运行
尝试下载金山清理专家
地址http://www.skycn.com/search.php?ss_name=%BD%F0%C9%BD%C7%E5%C0%ED%D7%A8%BC%D2&sor=00&sf=default&Submit=%C8%ED%BC%FE%CB%D1%CB%F7

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

谢谢高手啊，这么晚了还回答问题，感谢啊。我照您说的方法试试

高手啊，我弄好了，已经传了一份到流行病毒区了，这里也传一份吧。谢谢您啊

删除 具体方法见http://bbs.ikaka.com/showtopic-8442813.aspx

c:\windows\winsxp.exe
c:\windows\system32\microsoft\symantec.exe
c:\windows\system32\com\secvec.exe
c:\windows\system32\inupiat.exe
c:\windows\systrm
c:\windows\system32\aticimun.exe
c:\windows\system32\bgswitch.exe
c:\windows\system32\icamk.exe
c:\windows\system32a2.sys
c:\windows\system32\zwuurp
c:\docume~1\admini~1\locals~1\temp\_temp.dat
c:\docume~1\admini~1\locals~1\temp\_temp.dat
c:\windows\system32\urpmmj
c:\docume~1\admini~1\locals~1\temp\_temp.dat
c:\docume~1\admini~1\locals~1\temp\_temp.dat
c:\docume~1\admini~1\locals~1\temp\_temp.dat
c:\windows\\systemroot\system32\drivers\nhsfrcr.sys
c:\windows\system32\jgdbzw
c:\docume~1\admini~1\locals~1\temp\_temp.dat
c:\docume~1\admini~1\locals~1\temp\_temp.dat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[bgswitch]    <C:\WINDOWS\system32\bgswitch.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[系统默认服务！ / 系统默认服务！]    <C:\WINDOWS\winsxp.exe>
[Application Layer / Application Layer]    <C:\WINDOWS\system32\icamk.exe>
[Symantec AntiVirus / Symantec AntiVirus]    <C:\WINDOWS\system32\Microsoft\Symantec.exe>
[Peridtig Dista / PerAdaps Tation]    <C:\WINDOWS\system32\Com\secvec.exe>
[Inupiat / Inupiat]    <C:\WINDOWS\system32\Inupiat.exe>
[ClipBool / ClipBool]    <C:\WINDOWS\systrm>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[R2A / R2A]    <\??\C:\WINDOWS\system32a2.sys>
[zwuurp / zwuurp]    <\??\C:\WINDOWS\system32\zwuurp>
[yywtt / yywtt]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>
[vvtqn / vvtqn]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>
[urpmmj / urpmmj]    <\??\C:\WINDOWS\system32\urpmmj>
[snpshot / snpshot]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>
[qqolh / qqolh]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>
[pmjkg / pmjkg]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>
[nhsfrcr / nhsfrcr]    <\SystemRoot\\SystemRoot\System32\drivers\nhsfrcr.sys>
[jgdbzw / jgdbzw]    <\??\C:\WINDOWS\system32\jgdbzw>
[jffca / jffca]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>
[fcday / fcday]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_temp.dat>

补充
删除启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下注册表项目及对应的exe文件
<upxdnd><C:\WINDOWS\upxdnd.exe>  [File is missing]
PS：流氓软件有
建议金山清理专家
完美卸载清理系统

<ctfmon.exe><C:\WINDOWS\system32\CTFMON.EXE>  [File is missing]
还有这个文件丢失，去其他电脑上拷一个吧

开始-运行
输入dllcache
里面找到CTFMON.EXE
复制
放入System32文件夹

万分感谢各位高手啊，搞定了，太谢谢了，太谢谢了，各位功德无量，功德无量！！！南无阿弥陀佛