卡卡网上网安全助手软件 瑞星知道 文件诊所 安全论坛 瑞星网

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于查杀“灰鸽子2005”的一点建议

12345678»   2  /  382  页   跳转

关于查杀“灰鸽子2005”的一点建议

收藏
本主题由 版主 天月来了 于 2008-7-14 10:59:06 执行 关闭主题/取消 操作
baohe
头像
大版主
  • 帖子:38436
  • 注册: 2003-04-10
  • 来自:
发表于: 2005-04-01 13:40 | 只看楼主 短消息 资料
字号: 11楼

引用:
【三刀的贴子】"HijackThis1.99.1扫系统日志"是什么东东啊?

我根据瑞星提示,判断出"svchost.exe"系病毒,但在安全模式下在注册表中手工居然删不掉啊?
版主,怎么办?????????
...........................

HijackThis1.99.1是一个小巧的工具软件,主要用于浏览器劫持分析。瑞星的“反浏览器劫持论坛”提供这个工具下载。
gototop
 
三刀
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2005-03-29
  • 来自:
发表于: 2005-04-01 13:44 | 短消息 资料
字号: 12楼

引用:
【baohe的贴子】
HijackThis1.99.1是一个小巧的工具软件,主要用于浏览器劫持分析。瑞星的“反浏览器劫持论坛”提供这个工具下载。
...........................

谢谢版主
但我在安全模式下手工为什么删不掉呢
怎么样才能删掉他啊???????
gototop
 
baohe
头像
大版主
  • 帖子:38436
  • 注册: 2003-04-10
  • 来自:
发表于: 2005-04-01 13:50 | 只看楼主 短消息 资料
字号: 13楼

引用:
【三刀的贴子】
谢谢版主
但我在安全模式下手工为什么删不掉呢
怎么样才能删掉他啊???????

...........................


你应该搞清一个基本问题:你说的那个svchost.exe在那个目录中。有病毒/木马仿冒这个系统文件名,但冒牌的病毒文件不在%system%目录;另一种情况是:病毒/木马进程插入正常的svchost.exe中运行,这种情况,不能删除svchost.exe,而应想办法杀毒。
gototop
 
三刀
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2005-03-29
  • 来自:
发表于: 2005-04-01 13:59 | 短消息 资料
字号: 14楼

请版主看看我的日志,分析分哪些是病毒
我说的svchost.exe在windows.0/system32目录下
谢谢


Logfile of HijackThis v1.99.1
Scan saved at 13:51:33, on 2005-4-1
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS.0\system32\spoolsv.exe
D:\KV2005\KVSrvXP.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS.0\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\Program Files\rising\Rav\RavTimer.exe
C:\Program Files\rising\Rav\RavMon.exe
C:\WINDOWS.0\Mixer.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
F:\新建文件夹\rj\qq\QQ.exe
F:\down\248783200522382732\HijackThis.exe

O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:\KV2005\KvShell_1.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:\KV2005\KvShell_1.dll
O4 - HKLM\..\Run: [RavTimer] C:\Program Files\rising\Rav\RavTimer.exe
O4 - HKLM\..\Run: [RavMon] C:\Program Files\rising\Rav\RavMon.exe -system
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KvMonXP] D:\KV2005\KVMonXP_1.kxp /auto
O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NETANTS\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NETANTS\NetAnts.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\新建文件夹\rj\qq\QQ.exe
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\新建文件夹\rj\qq\QQ.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://218.244.110.115/interfaceasp/mwf/mgaxctrl.cab
gototop
 
三刀
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2005-03-29
  • 来自:
发表于: 2005-04-01 14:03 | 短消息 资料
字号: 15楼

16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://218.244.110.115/interfaceasp/mwf/mgaxctrl.cab
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS.0\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS.0\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS.0\System32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS.0\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS.0\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS.0\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS.0\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS.0\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS.0\System32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS.0\System32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS.0\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS.0\System32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS.0\System32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS.0\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS.0\System32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS.0\System32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS.0\System32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS.0\System32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS.0\System32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS.0\System32\msdxm.ocx
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS.0\System32\wiascr.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\System32\Ati2evxx.exe
O23 - Service: KVSrvXP - JiangMin New Tech Ltd. - D:\KV2005\KVSrvXP.exe
O23 - Service: Logical Disk Manager Service - Unknown owner - C:\WINDOWS.0\svchost.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Secondary Logon (seclogon) - Unknown owner - (no file)
O23 - Service: System Event Notification (SENS) - Unknown owner - (no file)
gototop
 
baohe
头像
大版主
  • 帖子:38436
  • 注册: 2003-04-10
  • 来自:
发表于: 2005-04-01 14:10 | 只看楼主 短消息 资料
字号: 16楼

O23 - Service: Logical Disk Manager Service - Unknown owner - C:\WINDOWS.0\svchost.exe
这项是灰鸽子2005。灰鸽子注册的服务名是Logical Disk Manager Service;病毒文件在C:\WINDOWS.0\中,可能有svchost.exe、svchost.dll、svchost_hook.dll、svchostKey.dll。

奇怪的是——你的WINDOWS目录名怎么是“WINDOWS.0”?一般,此目录名是WINDOWS。
gototop
 
三刀
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2005-03-29
  • 来自:
发表于: 2005-04-01 14:23 | 短消息 资料
字号: 17楼

呵呵
谢谢版主
我也不知道为什么是“WINDOWS.0”
可能我用的是破解版的XP吧

但此前我说过的
手工删不掉svchost.exe啊
怎么办啊
再次感谢
gototop
 
baohe
头像
大版主
  • 帖子:38436
  • 注册: 2003-04-10
  • 来自:
发表于: 2005-04-01 14:25 | 只看楼主 短消息 资料
字号: 18楼

引用:
【三刀的贴子】呵呵
谢谢版主
我也不知道为什么是“WINDOWS.0”
可能我用的是破解版的XP吧

但此前我说过的
手工删不掉svchost.exe啊
怎么办啊
再次感谢
...........................

仔细看这个主帖,按顺序去做。注意操作准确,尤其是注册表项删除操作,那是关键的一步,不要删错。
gototop
 
神州六号
头像
叱咤花甲狮
  • 帖子:2332
  • 注册: 2005-01-11
  • 来自:
发表于: 2005-04-01 15:10 | 短消息 资料
字号: 19楼

不错
gototop
 
xyiiii
头像
初生襁褓狮
  • 帖子:118
  • 注册: 2005-01-31
  • 来自:
发表于: 2005-04-01 15:41 | 短消息 资料
字号: 20楼

好文
gototop
 
<<上一主题|下一主题>>
12345678»   2  /  382  页   跳转
页面顶部
Powered by Discuz!NT