瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 !高手进来一下啊。我中了灰鸽子.老杀不掉.

12   1  /  2  页   跳转

!高手进来一下啊。我中了灰鸽子.老杀不掉.

收藏
忽悠你一下
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 22:05 | 只看楼主 短消息 资料
字号: 1楼

!高手进来一下啊。我中了灰鸽子.老杀不掉.

不知道什么时候中了灰鸽子。用瑞星老是杀不掉。说清楚成功。后面扫描又来了。
Backdoor.Gpigeon.iza就是这个病毒..在我的c:\ProgramFiles\Internet Explorer\IEXPLORE.EXE这个地方


这是HijackThis扫描的日志

Logfile of HijackThis v1.99.1
Scan saved at 21:50:39, on 2006-11-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\CCenter.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Rising\Ravmond.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\RavStub.exe
D:\Program Files\Rising\RavTask.exe
D:\Program Files\Rising\Rfw\rfwmain.exe
D:\Program Files\Rising\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\讯雷\ComDlls\XunLeiBHO_001.dll
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - E:\PROGRA~1\KuGoo3\KUGOO3~1.OCX
O4 - HKLM\..\Run: [RavTask] "d:\Program Files\Rising\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [StormCodec_Helper] "d:\Program Files\暴风\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunOnce: [RavStub] "d:\Program Files\Rising\ravstub.exe" /RUNONCE
O8 - Extra context menu item: &使用迅雷下载 - E:\讯雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\讯雷\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用KuGoo3下载(&K) - E:\Program Files\KuGoo3\KuGoo3DownX.htm
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方\浩方对战平台\GameClient.exe
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O15 - Trusted Zone: http://www.icbc.com.cn
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E61AB205-148C-4074-908C-4BDC4C1E300D}: NameServer = 202.101.224.69 202.101.226.68
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ccapp.com.cn - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Workstat1on (lanmanworkstat1on) - Unknown owner - C:\WINDOWS\system32\admin.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Ravmond.exe
最后编辑2006-11-18 23:02:51
分享到:
gototop
 
怀安LEDA電腦
头像
初生襁褓狮
  • 帖子:206
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 22:17 | 短消息 资料
字号: 2楼

看你好像在用网上银行,注意一点了!
gototop
 
忽悠你一下
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 22:20 | 只看楼主 短消息 资料
字号: 3楼

是啊。我的银行卡密码都被改了.不过里面只有1块钱。我把那卡彻户了..
gototop
 
炫Oo逍遥oO
头像
锋芒艾服狮
  • 帖子:1306
  • 注册: 2006-06-30
  • 来自:
发表于: 2006-11-18 22:23 | 短消息 资料
字号: 4楼

O23 - Service: ccapp.com.cn - Unknown owner - C:\Program.exe (file missing)
这个好象就是那鸽子`已经被删了``自己修复一下`
gototop
 
忽悠你一下
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 22:37 | 只看楼主 短消息 资料
字号: 5楼

刚刚重启下。。扫描之后又有了啊。。这次我没有先杀毒。直接贴日志。。高手帮忙看下。。问题到底出到哪里

Logfile of HijackThis v1.99.1
Scan saved at 22:26:05, on 2006-11-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\CCenter.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Rising\Ravmond.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\RavStub.exe
D:\Program Files\Rising\RavTask.exe
D:\Program Files\Rising\Rfw\rfwmain.exe
D:\Program Files\Rising\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
D:\ha_hijackthis_1991\HijackThis.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\讯雷\ComDlls\XunLeiBHO_001.dll
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - E:\PROGRA~1\KuGoo3\KUGOO3~1.OCX
O4 - HKLM\..\Run: [RavTask] "d:\Program Files\Rising\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [StormCodec_Helper] "d:\Program Files\暴风\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunOnce: [RavStub] "d:\Program Files\Rising\ravstub.exe" /RUNONCE
O8 - Extra context menu item: &使用迅雷下载 - E:\讯雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\讯雷\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用KuGoo3下载(&K) - E:\Program Files\KuGoo3\KuGoo3DownX.htm
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方\浩方对战平台\GameClient.exe
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O15 - Trusted Zone: http://www.icbc.com.cn
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E61AB205-148C-4074-908C-4BDC4C1E300D}: NameServer = 202.101.224.69 202.101.226.68
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ccapp.com.cn - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Workstat1on (lanmanworkstat1on) - Unknown owner - C:\WINDOWS\system32\admin.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Ravmond.exe
gototop
 
dingn
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 22:37 | 短消息 资料
字号: 6楼

灰鸽子一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,可以较为准确手工检测出灰鸽子木马。
首先进入“安全模式”打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。  经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。同时还有一个用于记录键盘操作的GameKey.dll文件。(也可能只有GAME.EXE这一个文件)
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后按照下面删除注册表里面的几项.

先说一下2000/XP系统
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
在98/9X系统里
灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,立即看到名为Game.exe的一项,将Game.exe项删除即可。

重新启动计算机。至此,灰鸽子已经被清除干净。
还有一种灰鸽子,听说是灰鸽子2,没有GAME.EXE这个客户端.按照以下办法
1。去安全模式,用HijackThis软件扫描一下,最下面有一个关于hacker.com.cn的一项删掉,软件建议重启。重启后还是到安全模式。
2。再扫描一遍,应该没有了吧?在运行regedit,搜索hacker.com.cn。仔细看看,可以全部删掉的吧(我都删了)。
3。显示全部隐藏文件和系统文件的情况下,搜索全部硬盘,关于hacker.com.cn看到windows目录下面有一个.exe的文件,删了!其他建议也删了,留着没用的吧?我是低手,我都删了。
4。现在正常启动windows。瑞星一查,应该就没有了。
我只遇到上面2种灰鸽子,都是通过手工清除,杀毒软件无法清除,你可以试一下.

嘿嘿,刚注册了个号来,第一个帖子,希望能给你帮助
gototop
 
忽悠你一下
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 22:52 | 只看楼主 短消息 资料
字号: 7楼

引用:
【dingn的贴子】灰鸽子一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,可以较为准确手工检测出灰鸽子木马。
首先进入“安全模式”打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。  经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。同时还有一个用于记录键盘操作的GameKey.dll文件。(也可能只有GAME.EXE这一个文件)
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后按照下面删除注册表里面的几项.
先说一下2000/XP系统
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
在98/9X系统里
灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,立即看到名为Game.exe的一项,将Game.exe项删除即可。

重新启动计算机。至此,灰鸽子已经被清除干净。
还有一种灰鸽子,听说是灰鸽子2,没有GAME.EXE这个客户端.按照以下办法
1。去安全模式,用HijackThis软件扫描一下,最下面有一个关于hacker.com.cn的一项删掉,软件建议重启。重启后还是到安全模式。
2。再扫描一遍,应该没有了吧?在运行regedit,搜索hacker.com.cn。仔细看看,可以全部删掉的吧(我都删了)。
3。显示全部隐藏文件和系统文件的情况下,搜索全部硬盘,关于hacker.com.cn看到windows目录下面有一个.exe的文件,删了!其他建议也删了,留着没用的吧?我是低手,我都删了。
4。现在正常启动windows。瑞星一查,应该就没有了。
我只遇到上面2种灰鸽子,都是通过手工清除,杀毒软件无法清除,你可以试一下.

嘿嘿,刚注册了个号来,第一个帖子,希望能给你帮助


………………


按照你的方法都试过了。。可是病毒还是存在
gototop
 
猪知山
头像
锋芒艾服狮
  • 帖子:1891
  • 注册: 2005-03-11
  • 来自:
发表于: 2006-11-18 22:59 | 短消息 资料
字号: 8楼

O23 - Service: ccapp.com.cn - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Workstat1on (lanmanworkstat1on) - Unknown owner - C:\WINDOWS\system32\admin.exe

------------
控制面板  管理工具 服务 找到ccapp.com.cn  禁止掉


-----------
开始  运行 regedit  展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除 lanmanworkstat1on
重启后  删除C:\WINDOWS\system32\admin.exe
gototop
 
szb123
头像
自信弱冠狮
  • 帖子:446
  • 注册: 2006-01-13
  • 来自:
发表于: 2006-11-18 23:00 | 短消息 资料
字号: 9楼

O23 - Service: Workstat1on (lanmanworkstat1on) - Unknown owner - C:\WINDOWS\system32\admin.exe
可疑服务项
gototop
 
忽悠你一下
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 23:08 | 只看楼主 短消息 资料
字号: 10楼

引用:
【猪知山的贴子】O23 - Service: ccapp.com.cn - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Workstat1on (lanmanworkstat1on) - Unknown owner - C:\WINDOWS\system32\admin.exe

------------
控制面板  管理工具 服务 找到ccapp.com.cn  禁止掉


-----------
开始  运行 regedit  展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除 lanmanworkstat1on
重启后  删除C:\WINDOWS\system32\admin.exe
………………


先谢谢大虾了
我按照你的说的步骤。已经把注册表清理好了。
可是重启后没有找到admin.exe
现在重新扫描C盘也没有发现以前那个病毒了。。是否已经搞定?
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT