瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 为何每天开机都能杀到这个病毒?

12   2  /  2  页   跳转

为何每天开机都能杀到这个病毒?

收藏
霞影
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-10-03
  • 来自:
发表于: 2005-10-03 19:36 | 只看楼主 短消息 资料
字号: 11楼

Logfile of HijackThis v1.99.1
Scan saved at 19:34:38, on 2005-10-3
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
D:\PROGRAM FILES\RISING\RAV\RavStub.exe
D:\Program Files\Rising\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
D:\PROGRA~1\RISING\RAV\RAVMON.EXE
D:\Program Files\Rising\Rising\Rfw\rfwmain.exe
C:\Program Files\淘宝网\淘宝旺旺\WangWang.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
F:\248783200522382732\HijackThis.exe

O2 - BHO: CSaveTarget Object - {0E7505F8-8F30-41E0-9D1E-D9DEABD36D38} - C:\Program Files\MiniTuoTu\MiniTuoTu.dll
O2 - BHO: EyeOnIE Class - {82925498-364E-4419-B3BF-CD12FC7A8815} - C:\Program Files\Tuotu\xDownDll2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RfwMain] "D:\Program Files\Rising\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [WangWang] "C:\Program Files\淘宝网\淘宝旺旺\WangWang.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 使用脱兔下载 - C:\Program Files\Tuotu\xdownGeturl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=65226_1006 (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: 脱兔下载 - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B} - C:\Program Files\Tuotu\TuoTu.exe
O9 - Extra 'Tools' menuitem: &TuoTu - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B} - C:\Program Files\Tuotu\TuoTu.exe
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - D:\Program Files\Rising\Rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
gototop
 
霞影
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-10-03
  • 来自:
发表于: 2005-10-03 19:38 | 只看楼主 短消息 资料
字号: 12楼

我好像已经看到了,是O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe?
但是不知道怎么才能彻底删除,请老鸟指教,说的详细点,我很菜
gototop
 
阿恒
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2005-10-03
  • 来自:
发表于: 2005-10-03 20:15 | 短消息 资料
字号: 13楼

我中了“灰鸽子”,可是和楼主一样,昨天和今天都杀到了,历史纪录显示没有路经,但是是在CProgram Files\Interent Explorer\ IEXPLORE.exe的文件里,看到来源是本机的,怎么才能彻底杀掉这个病毒?
我曾用“灰鸽子”专杀工具除掉了服务端,现在再用它检测时,也还是说没有检测到“服务端”。可是每天开机用“瑞星”查杀时,还是会出现像楼主的情况。各位高手,帮帮忙呀,急呀!我将把HijackThis 的扫描日志发上来,请帮俺瞧瞧吧!!拜托!!


O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\程序软件\ActiveX\AcroIEHelper.dll
O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\system32\stdup.dll
O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [ExFilter] Rundll32.exe "C:\PROGRA~1\CNNIC\Cdn\cdnspie.dll,ExecFilter solo"
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O8 - IE右键菜单中的新增项目:  >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL/mms.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\程序软件\OICQ2004\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\程序软件\OICQ2004\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\程序软件\OICQ2004\SendMMS.htm
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{791EE4A0-9443-4141-993B-91AA71F07544}: NameServer = 202.106.0.20 202.106.46.151
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: svchost - Unknown owner - C:\WINDOWS\svchost.exe
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-10-03 20:22 | 短消息 资料
字号: 14楼

【回复“霞影”的帖子】O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
1.开始-运行输入regedit,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名Gray_Pigeon_Server2.0
2.重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名 C:\WINDOWS\G_Server2.0.exe
, C:\WINDOWS\G_Server2.0.dll, C:\WINDOWS\G_Server2.0_Hook.dll, C:\WINDOWS\G_Server2.0key.dll 能找到的都删除
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-10-03 20:23 | 短消息 资料
字号: 15楼

【回复“阿恒”的帖子】O23 - NT 服务: svchost - Unknown owner - C:\WINDOWS\svchost.exe
1.开始-运行输入regedit,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名svchost
2.重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名 C:\WINDOWS\svchost.exe, C:\WINDOWS\svchost.dll, C:\WINDOWS\svchost_Hook.dll, C:\WINDOWS\svchostkey.dll 能找到的都删除
gototop
 
霞影
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-10-03
  • 来自:
发表于: 2005-10-03 21:28 | 只看楼主 短消息 资料
字号: 16楼

可是重启后查找并删除C:\WINDOWS\G_Server2.0.exe却说该文件正在被另一人或程序使用,无法删除
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-10-03 21:38 | 短消息 资料
字号: 17楼

【回复“霞影”的帖子】注册表里的你删除了吗?重起了吗?
gototop
 
霞影
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-10-03
  • 来自:
发表于: 2005-10-03 21:40 | 只看楼主 短消息 资料
字号: 18楼

引用:
【命运里の金色的贴子】【回复“霞影”的帖子】注册表里的你删除了吗?重起了吗?
...........................

是的,是我在删除了注册表里的然后重启之后就不能删除了
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-10-03 21:49 | 短消息 资料
字号: 19楼

用置顶工具里的killbox强行删除
gototop
 
阿恒
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2005-10-03
  • 来自:
发表于: 2005-10-03 22:59 | 短消息 资料
字号: 20楼

我的是在注册表里删了后,重启,然后再勾掉隐藏项,再进入WINDOWS里找到svchost.exe删的。一开始没重启前删,也是说有程序在占用的。你重启一下吧。
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT