瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 呜呜~中了讨厌的灰鸽子,拜托高手来帮帮忙!!!

12   2  /  2  页   跳转

呜呜~中了讨厌的灰鸽子,拜托高手来帮帮忙!!!

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-10-18 14:47 | 短消息 资料
字号: 11楼

【回复“cuo520”的帖子】
O23 - Service: Windows Professional - Unknown owner - C:\WINDOWS\system.exe
灰鸽子。不进入安全模式,也能搞定。
1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名Windows Professional
2、重启系统。
3、在“文件夹选项”中勾选“显示系统文件夹”、“显示所有文件和文件夹”,按“确定”。
4、在C:\WINDOWS\文件夹中找system.exe以及文件名中包含system的.dll文件,找到后——删除!
gototop
 
cuo520
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2005-10-18
  • 来自:
发表于: 2005-10-18 17:51 | 只看楼主 短消息 资料
字号: 12楼

我按照baohe教我的步骤进行完后,使用HijackThis v1.99.1再次扫描了,内容如下:
Logfile of HijackThis v1.99.1
Scan saved at 17:36:02, on 2005-10-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\常用软件\HijackThis1.99.1\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FLASHGET\jccatch.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - E:\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [IMSCMIG40W] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40W\IMSCMIG.EXE /SetPreload /Log
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: 腾讯QQ.lnk = E:\Program Files\Tencent\QQ\QQ.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: 使用影音传送带下载 - E:\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - E:\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 使用网际快车下载 - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://bbsky.wuhan.net.cn/cjw/plugin/PowerPlr.ocx
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7F59EEC-B0B5-41A5-81AB-44D9F19E69C7}: NameServer = 218.2.135.1 61.147.37.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

请高手帮我看看是否还有灰鸽子,除此以外还有没有异常的需要修复的项?
杀完后进程好像还有问题,现在还有5个svchost.exe进程只剩2个用户名为system,有3个svchost.exe进程的用户名还是一个为local service 和2个为network service;
第一次自己手动杀毒,高手帮帮忙啦!
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-10-18 17:53 | 短消息 资料
字号: 13楼

没有了,2000以上的系统有5个svchost.exe进程是正常的,
gototop
 
cuo520
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2005-10-18
  • 来自:
发表于: 2005-10-18 18:11 | 只看楼主 短消息 资料
字号: 14楼

可是我的进程真的和以前有好多不一样的呀?
那个高手告诉我怎样把任务管理器的图贴上来啊?多谢!!!
gototop
 
cuo520
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2005-10-18
  • 来自:
发表于: 2005-10-18 19:36 | 只看楼主 短消息 资料
字号: 15楼

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
是灰鸽子吗?
我原来正常时候进程只有4个用户名为system的svchost.exe进程,而现在有5个svchost.exe进程只剩2个用户名为system,有3个svchost.exe进程的用户名还是一个为local service 和2个为network service;这是中毒的表现吗?
高手帮忙解答一下!多谢!
gototop
 
子阳
头像
雄霸杖朝狮
  • 帖子:14755
  • 注册: 2004-04-13
  • 来自:
发表于: 2005-10-18 19:43 | 短消息 资料
字号: 16楼

把这几项修复下:
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\Tencent\QQ\QQIEHelper.dll
gototop
 
cuo520
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2005-10-18
  • 来自:
发表于: 2005-10-18 20:13 | 只看楼主 短消息 资料
字号: 17楼

修复是不是就在这几项前面打上钩后点击修复就好啦?请问这几条有什么问题要修复,是病毒吗?O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
是灰鸽子吗?
请高手解答!
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2005-10-19 00:28 | 短消息 资料
字号: 18楼

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
这项是正常服务~~~~~~
不要删~
gototop
 
zhandilin1
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2005-10-03
  • 来自:
发表于: 2005-10-19 00:54 | 短消息 资料
字号: 19楼


最好的网络赚钱工具:NewBar,SaBar,八趣通宝,挂机即得人民币和QQ币
------------------------------------------------------------------------------------------------------------
看新闻,就可赚现金!无须点击广告,不必投入1分钱!
------------------------------------------------------------------------------------------------------------
您好!您希望在网上赚钱吗?这一切都是免费的!您以前也许遇到过“MLM”、“网络传销”,这些不仅仅不能够真正赚到钱,补贴上网费用,而且是不合法的。我们应该远离和抵制。来这里,您不必付出1分钱,不必担心上当受骗。

该网站系国内知名网站,与国外那些赚钱网站不同,不必担心收不到钱,也不必为不懂英文而烦恼!

赶快注册吧,机会不容错过!注册以下三个免费赚钱的网站:NewBar,SaBar和 八趣通宝 ,是您的最佳选择!

①八趣请点击这里,免费注册http://www.****net/register.asp?net=zhandilin
②NewBar点击这里,免费注册http://www.*******com/newsbar/refferer.asp?zhandilin
⑶企航商务传媒, 免费注册 http://www.bizqh.com/hyqy.asp?ref=zhandilin
国内第一家首页冲浪站,比newsbar赚钱快的多,使用更方便,忘记存点也不会掉线。支持6级下线提成:10%,5%,4%,3%,2%,1%,满30元支付。会员登陆后会在首页的中部搜索框的上面看见一个绿色的"go",每点击一次后会在"go"位置出现一个20分钟的倒记时,倒记时完了你的帐上就会加上3.5分。20分钟点一次,单干1小时点3次就有0.105元,请大家分清楚,这里指的是会员登陆后首页冲浪(首页往下拉,在中间"GO"那里) ,而不是指首页左上方会员区域内的冲浪赚钱(这里的冲浪赚钱是会员自助广告,泡不到几个钱) 嵬g
⑷SaBar 点击这里,免费注册http://www.********com/sabar/reg.asp?sj=zhandilin
龙腾钱网(强烈推荐!!) jCR"晋{w
⑤http://www.emoney.f361.com/index.asp?ref=zhandilin
⑥好吧站 ?稝h http://www.hao8site.com/wz/index.asp?ref=zhandilin

以上四个站点都是满30元即可请付. ①②⑷均为下载一个小广告条软件运行登录后赚钱。
如果大家赚不到钱,可到这里骂我,赚了钱请把您的喜悦到这里告诉大家,让大家一起分享您免费赚钱的快乐!
大家如有什么疑问请到这里提出,我会尽心为大家解答!

大家就算挂着QQ也是挂,多开一个软件而已,又可以赚回网费,何乐而不为?本软件不占CPU,占很少内存!

本人是上面3个软件一起挂的,5月份开始:5月份收益99.3元,6月份收益203.5元,7月份收益407.5元, 8月份收益906.2元,我的思想就是:有钱大家赚嘛,象BT一样,人越多,赚的越多,还不快来?
人人都可以做的网络赚钱:不要网站,不要技术,不要投1分钱!“轻轻松松上网看新闻,痛痛快快赚大钱”你也许错过了网络初期的赚钱机会,这次你一定不可以再错过!



8月份八趣的兑换标准是 10元/2000分 或者 11.6个QQ币/2000分

7月份八趣的兑换标准是 10元/2000分 或者 11.5个QQ币/2000分

6月份八趣的兑换标准是 11.3元/2000分 或者 11.3个QQ币/2000分

5月份八趣的兑换标准是 10.1元/2000分 或者 10.1个QQ币/2000分

6月份NewBar 和 SaBar 的兑换标准差不多,都是11.7元左右/10000分(具体细节登陆上面网址查看)
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT