瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 顽症啊!删了重起又出现!请专家会症

12   1  /  2  页   跳转

顽症啊!删了重起又出现!请专家会症

收藏
绝顶雄风
头像
快乐黄口狮
  • 帖子:163
  • 注册: 2005-09-24
  • 来自:
发表于: 2005-10-09 19:32 | 只看楼主 短消息 资料
字号: 1楼

顽症啊!删了重起又出现!请专家会症

O23 - NT 服务: Remote Access Sever (Service) - Unknown owner - C:\windows\svchost.exe
我的做法:在windows中删除svchost.dll
注册表中删除services中的service,
清空临时文件夹,
关闭系统还原.
重起
svchost.dll,注册表中的service再现!
最后编辑2005-10-09 23:35:16
分享到:
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2005-10-09 19:48 | 短消息 资料
字号: 2楼

svchost.exe
svchosthook.DLL
svchostkey.dll
svchost.dll
这几个文件都要删!
引用:
【影子110的贴子】对了,还有,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮,否则你永远也找不到这些文件的~~~~
...........................

找到这些文件,并删了,你的病才能说好了,
gototop
 
绝顶雄风
头像
快乐黄口狮
  • 帖子:163
  • 注册: 2005-09-24
  • 来自:
发表于: 2005-10-09 20:05 | 只看楼主 短消息 资料
字号: 3楼

我就是搜不到啊?
莫非我搜索的方法有问题?
我是大菜鸟,请告诉我正确的搜索方法啊!
gototop
 
猎鹰渔民
头像
初生襁褓狮
  • 帖子:816
  • 注册: 2005-06-12
  • 来自:
发表于: 2005-10-09 20:08 | 短消息 资料
字号: 4楼

还是重新来吧,先把那个注册表里的删除后,重启显示所有文件,在找到svchost.exe
svchosthook.DLL
svchostkey.dll
svchost.dll删除
gototop
 
绝顶雄风
头像
快乐黄口狮
  • 帖子:163
  • 注册: 2005-09-24
  • 来自:
发表于: 2005-10-09 20:11 | 只看楼主 短消息 资料
字号: 5楼

删了注册表重起后注册表里的东西又出来了啊!
gototop
 
猎鹰渔民
头像
初生襁褓狮
  • 帖子:816
  • 注册: 2005-06-12
  • 来自:
发表于: 2005-10-09 20:14 | 短消息 资料
字号: 6楼

我看你还是直接用hijackthis修复O23 - NT 服务: Remote Access Sever (Service) - Unknown owner - C:\windows\svchost.exe
好了
gototop
 
绝顶雄风
头像
快乐黄口狮
  • 帖子:163
  • 注册: 2005-09-24
  • 来自:
发表于: 2005-10-09 20:15 | 只看楼主 短消息 资料
字号: 7楼

试过了,修复过了再扫描,还是有啊!
所以才叫顽集啊!
gototop
 
飞扬之歌
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2005-10-06
  • 来自:
发表于: 2005-10-09 20:31 | 短消息 资料
字号: 8楼

看来要用到这种手术刀才能解决喽~

KillBox V2.0.0.17 汉化版

KillBox 是国外反病毒论坛很受欢迎的工具软件,与 HijackThis 是最佳配合。
KillBox 实质是一个删除任意文件的利器,它不管这个文件是EXE还是DLL等其它文件,也不管这个文件是正在运行中,还是被系统调用了,KillBox 都可以简单几步就将文件删除。正因如此,KillBox 在反病毒方面使用非常之棒。现时流行类病毒(蠕虫、木马)很多均为单独的病毒文件,与系统无关,可以安全删除此类病毒文件。但在删除过程,由于病毒的狡滑,总是很难删除,这连国际知名安全软件产商也推荐在安全模式杀毒。有了 KillBox ,一切变得简单多了,只要先通过 HijackThis 等系统分析工具的 Log ,确认了病毒的文件,再填上病毒文件的完整路径,或通过游览选中此病毒文件,一 K 就行了(某些病毒可能需要重启电脑)。
但由于 KillBox 界面是英文的,很不爽,酷儿就动手汉化了它,希望大家喜欢。 (又是汉化 VB 写的工具,真的很麻烦……)
PS: 可以搭配 HijackThis & CheckRun 或卡巴斯基出品的木马探测器(也有酷儿的汉化版 ^_^ )等工具扫描的 Log 使用 ~~


详细介绍请看这一帖——原创之转帖--介绍 KillBox@Qoo 的使用
http://forum.ikaka.com/topic.asp?board=28&artid=5454397
gototop
 
yxxx
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2005-10-09
  • 来自:
发表于: 2005-10-09 20:47 | 短消息 资料
字号: 9楼

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      20:37:37, 日期 2005/10/09
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Rising\Rav\RavTray.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Rising\Rav\RavService.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Rising\Rav\RavMon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\yxx\LOCALS~1\Temp\Rar$EX00.186\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FiltrateWebObj Class - {42AFACEE-2A77-41EB-9EE2-D9F8AF827F90} - C:\Program Files\KV2006\KVBHO.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - 启动项HKLM\\Run: [UpdateManager] "c:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - 启动项HKLM\\Run: [TpShocks] TpShocks.exe
O4 - 启动项HKLM\\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - 启动项HKLM\\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - 启动项HKLM\\Run: [TP4EX] tp4ex.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - 启动项HKLM\\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - 启动项HKLM\\Run: [S3TRAY2] S3Tray2.exe
O4 - 启动项HKLM\\Run: [RavTray] C:\Program Files\Rising\Rav\RavTray.exe
O4 - 启动项HKLM\\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - 启动项HKLM\\Run: [QCTRAY] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - 启动项HKLM\\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - 启动项HKLM\\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - 启动项HKLM\\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - 启动项HKLM\\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - 启动项HKLM\\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - 启动项HKLM\\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - 启动项HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
O4 - 启动项HKLM\\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - 浏览器额外的“工具”菜单项: IBM Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124195798092
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128859866764
O17 - HKLM\System\CCS\Services\Tcpip\..\{F11586E0-C077-42B5-AD84-F7AA8AB75AA9}: NameServer = 61.177.7.1 221.228.255.1
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe (file missing)
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - NT 服务: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - NT 服务: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - NT 服务: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing)
O23 - NT 服务: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - NT 服务: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - NT 服务: Remote Access Sever (Service) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - NT 服务: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

我也中毒了,病毒名为Backdoor.Gpigeon.spm\Backdoor.Gpigeon.snl\Win32.parite.b 用瑞星17.47.32杀了N次现在还不知道杀清了没有高手能帮我吗?瑞星是正版的。
gototop
 
七彩黄花菜萱草
头像
锋芒艾服狮
  • 帖子:1312
  • 注册: 2005-08-09
  • 来自:
发表于: 2005-10-09 22:06 | 短消息 资料
字号: 10楼

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe (file missing)
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - NT 服务: Remote Access Sever (Service) - Unknown owner - C:\WINDOWS\svchost.exe
三只鸽子
查杀灰鸽子步骤:请参照baohe斑竹的查杀“灰鸽子2005”的一点建

http://forum.ikaka.com/topic.asp?board=28&artid=6202404


gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT