中了Backdoor.Win32.Gpigeon2007.mpp bbs.ikaka.com

83809892 - 2008-8-24 22:42:00

大虾们帮下忙啊。。杀了还是有的清除不干净看到很多什么SRENG 不懂是什么意思。。希望好心人能详细点帮我解决下。。。谢谢了！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

aaccbbdd - 2008-8-24 22:44:00

1.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

2.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

3.为了最大程度减少对病毒的误判，和对病毒准确定位，最好同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

（4.如都以上软件无法正常运行
尝试该版本SRENG
http://bbs.ikaka.com/attachment.aspx?attachmentid=412527）
如2.6的能用，还是用2.6的

5.2份日志/报告以附件上传点击：（我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒区.已发帖请跟贴，勿另开新帖。

83809892 - 2008-8-24 22:51:00

引用:

原帖由 aaccbbdd 于 2008-8-24 22:44:00 发表
1.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

2.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

3.

附件: SREngLOG.log

超级游戏迷 - 2008-8-24 22:55:00

下面3个服务先禁用掉：

[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\drivers\ravsock2.dll><N/A>

[Removable Storage / NtmsSvc][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\drivers\ravsock3.dll><N/A>

[Remote Access Connection / Remote Wind Connection][Stopped/Auto Start]
<C:\Program Files\Common Files\Microsoft Shared\MSINFO\rundlll.exe><N/A>

操作完成后重启电脑。

aaccbbdd - 2008-8-24 22:55:00

SRENG- 启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\drivers\ravsock2.dll><N/A>
[Removable Storage / NtmsSvc][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\drivers\ravsock3.dll><N/A>

http://www.arswp.com/download.html
升级，清理系统

自己看下文件：
C:\WINDOWS\system32\GameLink.dll

超级游戏迷 - 2008-8-24 23:02:00

双击“我的电脑”，工具--文件夹选项，按照下图显示隐藏文件和文件夹后，找到以下三个文件，用WINRAR压缩工具分别压缩（不能压缩的话，复制到其他目录再压缩），把压缩包上传上来：
C:\WINDOWS\system32\drivers\ravsock2.dll
C:\WINDOWS\system32\drivers\ravsock3.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\rundlll.exe

83809892 - 2008-8-24 23:15:00

引用:

原帖由 aaccbbdd 于 2008-8-24 22:55:00 发表

SRENG- 启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WIND......

老大前面那人说的3个要禁也。。。还有最后一个GAME。。。是什么啊。赐教了。3Q

aaccbbdd - 2008-8-24 23:21:00

听版主的话吧
照他的操作

C:\WINDOWS\system32\GameLink.dll
是不是你安装游戏的东东？

超级游戏迷 - 2008-8-24 23:23:00

引用:

原帖由 83809892 于 2008-8-24 23:15:00 发表
[quote] 原帖由 aaccbbdd 于 2008-8-24 22:55:00 发表

SRENG- 启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svcho

www.Easy2Game.com这个游戏下载网站的一个软件，安装后就会释放c:\windows\system32\gamelink.dll这个东西，修改系统winsock供应者的注册表项值，目前尚不清楚是否有恶意行为，不过其不经过用户同意就擅自修改WINSOCK的行为，比较让人反感……:default2:

83809892 - 2008-8-24 23:24:00

引用:

原帖由 超级游戏迷 于 2008-8-24 23:02:00 发表
双击“我的电脑”，工具--文件夹选项，按照下图显示隐藏文件和文件夹后，找到以下三个文件，用WINRAR压缩工具分别压缩（不能压缩的话，复制到其他目录再压缩），把压缩包上传上来：
C:\WINDOWS\system32\drivers\ravsock2.dll
C:\WINDOWS\system32\drivers\ravsock3.dll
C:\Program Files\Common Fi

附件: ravsock2.rar

附件: ravsock3.rar

附件: rundlll.rar

83809892 - 2008-8-24 23:28:00

引用:

原帖由 超级游戏迷 于 2008-8-24 23:02:00 发表
双击“我的电脑”，工具--文件夹选项，按照下图显示隐藏文件和文件夹后，找到以下三个文件，用WINRAR压缩工具分别压缩（不能压缩的话，复制到其他目录再压缩），把压缩包上传上来：
C:\WINDOWS\system32\drivers\ravsock2.dll
C:\WINDOWS\system32\drivers\ravsock3.dll
C:\Program Files\Common Fi

附件: rundlll.rar

附件: ravsock2.rar

附件: ravsock3.rar

超级游戏迷 - 2008-8-24 23:34:00

第三个压缩包不对啊，怎么是0kb……:default29:

83809892 - 2008-8-24 23:44:00

引用:

原帖由 超级游戏迷 于 2008-8-24 23:34:00 发表
第三个压缩包不对啊，怎么是0kb……:default29:

发帖子卡住了。重新发了一次。。不过刚我重起了还是有这个病毒

超级游戏迷 - 2008-8-24 23:45:00

另外,请把杀毒软件提示的Backdoor.Win32.Gpigeon2007.mpp这个病毒学名的病毒文件名和所在路径提供一下,谢谢!

超级游戏迷 - 2008-8-24 23:48:00

1、看漏一个,这个服务也禁用掉,然后重启电脑:

[Computer Browser / Browser][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Browsers.dll><N/A>

2、把C:\WINDOWS\system32\Browsers.dll这个文件也压缩上传压缩包.

3、前面2步完成后，上扫描新日志上传……

83809892 - 2008-8-24 23:52:00

IEXPLORE.EXE>>C:\program files\internet explorer IEXPLORE.EXE

notepad.exe>>C:\WINDOWS\system32 notepad.exe

超级游戏迷 - 2008-8-24 23:53:00

引用:

原帖由 83809892 于 2008-8-24 23:52:00 发表
IEXPLORE.EXE>>C:\program files\internet explorer IEXPLORE.EXE

notepad.exe>>C:\WINDOWS\system32 notepad.exe

看我15楼回复……

83809892 - 2008-8-24 23:56:00

引用:

原帖由 超级游戏迷 于 2008-8-24 23:48:00 发表
1、看漏一个,这个服务也禁用掉,然后重启电脑:

[Computer Browser / Browser][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Browsers.dll><N/A>

2、把C:\WINDOWS\syst

附件: browser.rar

83809892 - 2008-8-25 0:01:00

引用:

原帖由 超级游戏迷 于 2008-8-24 23:48:00 发表
1、看漏一个,这个服务也禁用掉,然后重启电脑:

[Computer Browser / Browser][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Browsers.dll><N/A>

2、把C:\WINDOWS\syst

请陛下过目

引用:

汗，现在不是封建社会，以后请注意了……:default2:

附件: SREngLOG.log

超级游戏迷 - 2008-8-25 0:01:00

看清楚了，我要的是Browsers.dll这个文件，不是Browser.dll这个系统文件……:default2:

超级游戏迷 - 2008-8-25 0:05:00

请参阅http://bbs.ikaka.com/showtopic-8442813.aspx四楼自学如何禁用服务，一次性禁用掉前面说的四个服务项目，然后重启电脑！

83809892 - 2008-8-25 0:07:00

引用:

原帖由 超级游戏迷 于 2008-8-25 0:01:00 发表
看清楚了，我要的是Browsers.dll这个文件，不是Browser.dll这个系统文件……:default2:

:default11: 我电脑里找不到Browsers.dll 只有Browser.dll。。。

aaccbbdd - 2008-8-25 0:08:00

我让你用清理助手
怎么就不用呢

83809892 - 2008-8-25 0:09:00

引用:

原帖由 aaccbbdd 于 2008-8-25 0:08:00 发表
我让你用清理助手
怎么就不用呢

那个也用了也。。

83809892 - 2008-8-25 0:27:00

还是有。。。现在是3个病毒了而且2个是一样的

aaccbbdd - 2008-8-25 0:28:00

楼主试试开机杀毒
范围：全盘杀毒
明天吧
全盘杀毒慢呀

叶陵君 - 2008-8-25 0:31:00

:default1: 在上传一份日志，我现在有空，可以帮你看看。

83809892 - 2008-8-25 0:31:00

我想这个病毒就是和我为什么上网越久网速越慢的原因吧。。到最后就只有重启才能解决

aaccbbdd - 2008-8-25 0:31:00

日志不是有么
4项可疑

83809892 - 2008-8-25 0:35:00

引用:

原帖由 叶陵君 于 2008-8-25 0:31:00 发表
:default1: 在上传一份日志，我现在有空，可以帮你看看。

附件: SREngLOG.log

瑞星卡卡安全论坛