求助，如何杀Backdoor.Gpigeon6.an？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛求助，如何杀Backdoor.Gpigeon6.an？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

3 / 4 页

跳转页

求助，如何杀Backdoor.Gpigeon6.an？

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-03 23:53 \| 短消息资料字号：小中大 21楼展开注册表，删除以下键值（也可以用SREng的“启动项”-“注册表”来删除） [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <RavUptyti><C:\WINDOWS\System32\agetlkyei.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <supdate2.dll><rem RUNDLL32.EXE C:\WINDOWS\System32\supdate2.dll,Run> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <win32tip><C:\WINDOWS\System32\mscorierdll4.exe> 控制面板-性能与维护-管理工具-服务，找到System Event Logger→双击→启动类型→禁止→停止→应用→确定。终止System Event Logger这个服务。进入注册表展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 找到后删除8NASCAR文件夹重启后安全模式下删除： C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL C:\WINDOWS\System32\agetlkyei.exe C:\WINDOWS\System32\supdate2.dll C:\WINDOWS\System32\mscorierdll4.exe [StdService / StdService] <C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\STDSVER.DLL,Service><N/A> 这一项还和C:\WINDOWS\SYSTEM32\stdup.dll有关联，详细处理参考http://forum.ikaka.com/topic.asp?board=28&artid=7971417 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <spoolsv><C:\WINDOWS\System32\spoolsv\spoolsv.exe -printer> 这一项和Trojan.DL.Small.ibr有关，详细处理参考http://forum.ikaka.com/topic.asp?board=28&artid=7948848 以上两篇帖子中提到的HijackThis在http://forum.ikaka.com/topic.asp?board=28&artid=6979213第1楼下载。 PS：至于这一项： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <SysExplr><; C:\HEROSOFT\Hero3000\SYSEXPLR.EXE> 与冰河木马无关，是超级解霸的自动伺服器，呵呵。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-03 23:59 \| 短消息资料字号：小中大 22楼晕，没有浏览器加载项！再扫描一次，把浏览器加载项的部分发上来。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

mynohack 初生襁褓狮帖子:49 注册: 2006-03-16 来自:	发表于： 2006-05-03 23:59 \| 短消息资料字号：小中大 23楼 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <SysExplr><; C:\HEROSOFT\Hero3000\SYSEXPLR.EXE> 什么年代了，还中冰河 [System Event Logger / 8NASCAR] <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A> [StdService / StdService] <C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\STDSVER.DLL,Service><N/A> NvCpl / NvCpl] <C:\WINDOWS\cmd.com><N/A> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <win32tip><C:\WINDOWS\System32\mscorierdll4.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <pbmini><rem C:\Program Files\pcast\PodcastbarMini\PodcastBarMiniStater.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <supdate2.dll><rem RUNDLL32.EXE C:\WINDOWS\System32\supdate2.dll,Run> 以上修复，删除了。再用“killbox"软件KILL掉C:\WINDOWS\SOUNDMANSKey.DLL
mynohack 初生襁褓狮帖子:49 注册: 2006-03-16 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-04 00:03 \| 短消息资料字号：小中大 24楼 killbox搞不定的，因为它插入了进程。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

巴黎的忧郁初生襁褓狮帖子:15 注册: 2006-05-03 来自:	发表于： 2006-05-04 00:08 \| 只看楼主短消息资料字号：小中大 25楼 ================================== 浏览器加载项 [AcroIEHlprObj Class] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx, > [CPub Object] {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} <C:\Program Files\P4P\sodaie.dll, N/A> [ChajianHelper Class] {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} <C:\WINDOWS\System32\SYSREA~1.DLL, Kmedia> [wmpdrm] {0E674588-66B7-4E19-9D0E-2053B800F69F} <C:\WINDOWS\System32\wmpdrm.dll, N/A> [QQBrowserHelperObject Class] {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司> [std software] {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} <C:\WINDOWS\SYSTEM32\stdup.dll, > [雅虎助手] {5D73EE86-05F1-49ed-B850-E423120EC338} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist, N/A> [@shdoclc.dll,-866] {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A> [QQIEFloatBarCfgCmd Class] {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} <C:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司> [电台(&R)] {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\System32\msdxm.ocx, Microsoft Corporation> [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\System32\Macromed\Flash\Flash8b.ocx, Macromedia, Inc.> [添加到QQ自定义面板] <C:\Program Files\Tencent\QQ\AddPanel.htm, N/A> [添加到QQ表情] <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
巴黎的忧郁初生襁褓狮帖子:15 注册: 2006-05-03 来自:

mynohack 初生襁褓狮帖子:49 注册: 2006-03-16 来自:	发表于： 2006-05-04 00:09 \| 短消息资料字号：小中大 26楼先修复我说的那些，重启，再KILL，钩选“删除DLL前先反注册它”和“先终止Explorer.EXE"
mynohack 初生襁褓狮帖子:49 注册: 2006-03-16 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-04 00:19 \| 短消息资料字号：小中大 27楼眼睛睁大点： [PID: 512][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)> [C:\WINDOWS\SOUNDMANSKey.DLL] <N/A><N/A> 你难道想把C:\WINDOWS\system32\winlogon.exe也结束？这是系统核心进程，是不能结束的，否则系统即刻崩溃。这个方法也不是我总结出来的，是baohe版主总结出来的，如果老兄认为有更简单的方法，不妨联系版主探讨一下，呵呵。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

巴黎的忧郁初生襁褓狮帖子:15 注册: 2006-05-03 来自:	发表于： 2006-05-04 00:24 \| 只看楼主短消息资料字号：小中大 28楼开始－－控制面板－－性能和维护－－管理工具－－服务控制面板-性能与维护-管理工具-服务，分别找到VMware NAT Servicex和NvCpl→双击→启动类型→禁止→停止→应用→确定。终止VMware NAT Servicex和NvCpl这个服务。找不到VMware NAT Servicex。而NVCPL找到了，但“停止”运行时却说找不到这个文件。
巴黎的忧郁初生襁褓狮帖子:15 注册: 2006-05-03 来自:

mynohack 初生襁褓狮帖子:49 注册: 2006-03-16 来自:	发表于： 2006-05-04 00:26 \| 短消息资料字号：小中大 29楼你先让他试试，不然就来个简单的，去我的网盘下一个“江民未知病毒检测”扫系统，看到有可疑进程就KILL掉，或者发它目录下的LOG上来看看，应该可以杀掉的网盘地址：http://myljty.ys168.com 我就是没遇过这样的，所以才感兴趣
mynohack 初生襁褓狮帖子:49 注册: 2006-03-16 来自:

巴黎的忧郁初生襁褓狮帖子:15 注册: 2006-05-03 来自:	发表于： 2006-05-04 00:26 \| 只看楼主短消息资料字号：小中大 30楼不好意思，请问如何进行注册表？：（
巴黎的忧郁初生襁褓狮帖子:15 注册: 2006-05-03 来自:

<<上一主题|下一主题>>

3 / 4 页

跳转页

页面顶部

Powered by Discuz!NT