瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

12345678»   3  /  70  页   跳转

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

收藏
丝丝乖乖
头像
初生襁褓狮
  • 帖子:77
  • 注册: 2005-11-19
  • 来自:
发表于: 2005-11-19 18:03 | 短消息 资料
字号: 21楼

手动怎么杀呀?我看了几个贴...看得好迷茫...
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2005-11-19 18:27 | 短消息 资料
字号: 22楼

引用:
【影子110的贴子】
HijackThis V1.99.1汉化版下载及英文原版下载地址(二楼)
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
...........................


引用:
【丝丝乖乖的贴子】手动怎么杀呀?我看了几个贴...看得好迷茫...
...........................

把日志帖上来,,
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-11-19 18:46 | 只看楼主 短消息 资料
字号: 23楼

引用:
【影子110的贴子】谢谢~~
那这个C:\WINDOWS\Explorer.EXE可以安全删除吗?(是杀毒,还是删除)

建议杀毒.
删除它就不方便我们操作windows了罢?



引用:
【影子110的贴子】谢谢~~
如果,因为瑞星的版本不够(无法升级时),只能在线查,查出这个毒时,结束这个进程是否就可以了,,(~~把这个鸽子手工删除后(就是删除它的服务项,删除它的文件,再结束这个进程是否可以~~)


即使是瑞星在线免费查毒,也会把内存中的病毒清除掉的。

如果病毒进程还在的话,我们就不能删除病毒文件。

我个人推荐的操作顺序是:重启到安全模式下,停止并禁用服务,终止进程,删除文件,禁用系统还原功能,清空IE临时文件夹,重新启动电脑,启用系统还原功能。

引用:
【影子110的贴子】谢谢~~
好像有时瑞星杀毒时常会显示已经把一些文件给隔离起来了,这些被隔离的病毒文件还需要再删除吗?


一般情况下不需要删除。如果病毒文件在隔离区里还起作用,那就得删除了。

或者病毒文件被隔离后,系统工作正常,而你也没有研究病毒的习惯,或者磁盘空间紧张,那么可以考虑删除它们。

引用:
【影子110的贴子】
另,Worm.Mail.Fanbot(看这个病毒名,应该是属于 蠕虫的一种吧~)


从病毒名上看,确实是个蠕虫,很可能是通过email传播的。

引用:
【影子110的贴子】
呵呵~~又提了那么多问题~~~
先谢谢了~~~(老版主可不要嫌烦啊~~)


欢迎提出问题来让大家一起讨论,共同进步。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-11-19 18:49 | 只看楼主 短消息 资料
字号: 24楼

引用:
【Michaelmao的贴子】我也中了,但是查了下没有system_HOOk.DLL
system.DLL和system.exe有的
但是system.DLL却删不掉~~~
楼主请问下该怎么办啊??
...........................


你可以尝试使用KillBox之类的软件。

也可以到安全模式下删除。

我个人推荐的操作顺序是:重启到安全模式下,停止并禁用服务,终止进程,删除文件,禁用系统还原功能,清空IE临时文件夹,重新启动电脑,启用系统还原功能。
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2005-11-19 19:08 | 短消息 资料
字号: 25楼

引用:
【endurer的贴子】
我个人推荐的操作顺序是:重启到安全模式下,停止并禁用服务,终止进程,删除文件,禁用系统还原功能,清空IE临时文件夹,重新启动电脑,启用系统还原功能。
...........................


我曾经修改过某个服务 (已经记不清是哪个了,,,呵呵,后来让我进不了系统,害得我又去电脑城重装了下系统~~~所以,现在我轻易的可不敢再~~~)
而且,好像很多的服务都和其它的一些服务有依附关系,,,一但关闭了哪个,那其它的有关联的那些服务好像也就跟着不能用了~~~,这些木马或病毒的服务是否也会和其它正常服务有关联呢~,,,
另,一旦因为错误 的修改了某些正常的服务,而导致无法进入系统时,,,是否还有补救的方法呢~?(除了重装系统~~~

还有一个,,,就是关于系统还原的~~
错误的更改了服务项后(如果能够正常进入系统),是否能够利用它来恢复原来的设置~?
gototop
 
stingbin
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2005-11-19
  • 来自:
发表于: 2005-11-19 22:36 | 短消息 资料
字号: 26楼

引用:
【endurer的贴子】

你可以尝试使用KillBox之类的软件。

也可以到安全模式下删除。

我个人推荐的操作顺序是:重启到安全模式下,停止并禁用服务,终止进程,删除文件,禁用系统还原功能,清空IE临时文件夹,重新启动电脑,启用系统还原功能。
...........................


你好
请问:
如何停止并禁用服务?
禁用系统还原功能  是在  系统属性---系统还原  选项里把那个 “在所有系统驱动器上关闭还原”选中是吗?
谢谢!
gototop
 
丝丝乖乖
头像
初生襁褓狮
  • 帖子:77
  • 注册: 2005-11-19
  • 来自:
发表于: 2005-11-20 10:48 | 短消息 资料
字号: 27楼

我终于知道怎么扫描了...是不是下面这个?谢谢影子GG帮我看一下...那个...高手都好看看...还有哦...我周末回家每天都在杀毒.但每天都能杀到backdoor.gpigeon.ssg和backdoor.gpigeon.uq的病毒...都显示清除成功了...可第二天还能杀出来..再清除成功...不知道明天会不会还杀出来...好奇怪呀...杀不干净吗?

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      10:40:08, 日期 2005-11-20
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3W1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\leean\桌面\HijackThis1991zww汉化版\HijackThis1991zww.exe

O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] C:\Program Files\rising\Rfw\rfwmain.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [ExFilter] Rundll32.exe C:\WINDOWS\system32\hookdll.dll,ExecFilter solo
O4 - 启动项HKLM\\Run: [EPSON ME 1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3W1.EXE /P10 "EPSON ME 1" /O6 "USB001" /M "ME 1"
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72C58837-32B2-40A4-8A25-5FF9AABBF901}: NameServer = 202.96.209.133 202.109.116.116
O23 - NT 服务: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: ipsecd - Unknown owner - C:\WINDOWS\ipsecd.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
gototop
 
丝丝乖乖
头像
初生襁褓狮
  • 帖子:77
  • 注册: 2005-11-19
  • 来自:
发表于: 2005-11-20 11:07 | 短消息 资料
字号: 28楼


高手都爱睡懒觉...快来...快来嘛...这个病毒会不会盗取偶的什么帐号,密码的呀??
gototop
 
瘋誑※Online
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2005-11-20
  • 来自:
发表于: 2005-11-20 12:37 | 短消息 资料
字号: 29楼

......沉默中
gototop
 
whhg432
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2005-11-20
  • 来自:
发表于: 2005-11-20 12:40 | 短消息 资料
字号: 30楼

我也中毒了,杀了一整天,没有杀死,谁帮我看看呀!


HijackThis_zww汉化版扫描日志 V1.99.1
保存于      12:29:26, 日期 2005-11-20
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\Program Files\wsearch\Search.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\zsxz\UrlService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\zsxz\IEUrldrive.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\HijackThis_zww汉化版扫描日志 V1.99.1\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: 划词搜索.lnk = C:\Program Files\HuaCi\zsearch.exe
O4 - Startup: 桌面媒体.lnk = C:\WINDOWS\system32\rundll32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - IE右键菜单中的新增项目: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - IE右键菜单中的新增项目: 反向链接 - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 导出当前页到超星阅览器(&A) - d:\Program Files\SSREADER36\ss_all.htm
O8 - IE右键菜单中的新增项目: 导出选中部分到超星阅览器(&S) - d:\Program Files\SSREADER36\ss_select.htm
O8 - IE右键菜单中的新增项目: 类似网页 - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - IE右键菜单中的新增项目: 缓存的网页快照 - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - IE右键菜单中的新增项目: 翻译英文字词(&T) - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - IE右键菜单中的新增项目: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - 浏览器额外的按钮: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT]  中文上网
O17 - HKLM\System\CCS\Services\Tcpip\..\{59B29E2B-AF51-4E2F-B849-E372A98D49AA}: NameServer = 202.102.152.3 202.102.154.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{59B29E2B-AF51-4E2F-B849-E372A98D49AA}: NameServer = 202.102.152.3 202.102.154.3
O23 - NT 服务: DNS TIMER CONTROL - Unknown owner - C:\WINDOWS\DNS.exe (file missing)
O23 - NT 服务: Download Service - Unknown owner - C:\WINDOWS\system32\SeedServ.exe
O23 - NT 服务: Event Client - Unknown owner - C:\Program Files\zsxz\UrlService.exe
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\Rising\Rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
gototop
 
<<上一主题|下一主题>>
12345678»   3  /  70  页   跳转
页面顶部
Powered by Discuz!NT