瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】Backdoor.Win32.Gpigeon.2007.el

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

【求助】Backdoor.Win32.Gpigeon.2007.el

ETfox 初生襁褓狮帖子:7 注册: 2008-02-23 来自:	发表于： 2008-02-23 18:40 \| 只看楼主短消息资料字号：小中大 1楼【求助】Backdoor.Win32.Gpigeon.2007.el zhe ge bing du gao de wo lian shu ru fa dou mei le nan dao zhe ge bing du wu jie ma? ????? qing jing kuai hui fu jie jue fang an ~~!!! j [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2008-02-23 21:21:48
ETfox 初生襁褓狮帖子:7 注册: 2008-02-23 来自:	分享到：

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-02-23 18:56 \| 短消息资料字号：小中大 2楼扫SRENG日志发论坛来 http://www.kztechs.com/sreng/download.html 下载System Repair Engineer 1 解压缩sreng2.zip 2 运行SREng.exe（（最好改个名运行，可以改为123.com）） 3 智能扫描=》扫描=》保存报告 4 把报告保存后,将日志内容复制到另一个新建的空记事本里保存，再以附件形式发论坛来。一定要以附件形式发论坛来可以点我这贴的右下角的“引用”就知道怎么以附件形式发来了
天月来了版主帖子:76904 注册: 2007-02-06 来自:

初生襁褓狮

帖子:7
注册: 2008-02-23
来自:

发表于： 2008-02-23 19:05 | 只看楼主 短消息资料

字号：小中大 3楼

引用:

【天月来了的贴子】扫SRENG日志发论坛来

下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe（（最好改个名运行，可以改为123.com））
3 智能扫描=》扫描=》保存报告
4 把报告保存后,将日志内容复制到另一个新建的空记事本里保存，再以附件形式发论坛来。
一定要以附件形式发论坛来
可以点我这贴的右下角的“引用”就知道怎么以附件形式发来了

………………

附件:

文件名:10166232008223185342.txt

下载次数:100

文件类型:application/octet-stream

文件大小:

上传时间:2008-2-23 19:05:27

描述:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-02-23 20:22 \| 短消息资料字号：小中大 4楼 C:\WINDOWS\System32\3wareSrv.exe C:\WINDOWS\system32\surhost.dll C:\Program Files\hnnn\NeoPlugIn.dll C:\Program Files\Common Files\nqdevic\Cmdlkex.exe 上面这四个文件，自己确定一下到底是什么东西。 ———————————————————————————————————————— 做好准备后，一定要断网处理，不然可能不能成功。 ———————————————————————————————————————— 那你只有用Xdelbox这个工具去删除这些文件了。下载XDELBOX，地址和使用方法： http://forum.ikaka.com/topic.asp?board=28&artid=8381032 Xdelbox下载：http://www.dodudou.com/down/ 里面的原创软件文件夹下载那个1.6版本的，使用时一定拔掉所有移动存储设备。一定要完全解压到一个文件夹里运行，不然可能有异常。将下面的文件信息全部复制，然后打开Xdelbox直接在下面大窗口的空白处，使用右键菜单的“剪贴板导入不检查路径”导入，并全选文件选择右键菜单的“立刻重启删除” C:\WINDOWS\356913M.exe C:\WINDOWS\upxdnd.exe C:\WINDOWS\system32\Wingin.exe C:\WINDOWS\system32\DAADAA1037.dll C:\WINDOWS\system32\CBB-CBB-1028.dll C:\WINDOWS\system32\NNNNNN1026.dll C:\WINDOWS\system32\BAABAA1027.dll C:\WINDOWS\system32\zjydcx.dll C:\WINDOWS\system32\QABQAB1014.dll C:\WINDOWS\system32\IGB_WMSJ_1012.dll C:\WINDOWS\system32\hhrdxd.dll C:\WINDOWS\system32\IGB_WD_1029.dll C:\WINDOWS\system32\JADJAD1038.dll C:\WINDOWS\system32\HACHAC1035.dll C:\WINDOWS\system32\drivers\fhzl2.ahc C:\WINDOWS\system32\drivers\pcihdd2.sys C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpD.tmp C:\WINDOWS\system32\drivers\mselk.sys C:\WINDOWS\system32\drivers\msyecp.sys C:\WINDOWS\system32\XDva090.sys C:\WINDOWS\system32\drivers\ati32srv.sys C:\WINDOWS\system32\drivers\msosfpids32.sys C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp36.tmp C:\WINDOWS\system32\qlihzouhgnfe.dll C:\WINDOWS\system32\winsrv32.dll C:\WINDOWS\system32\chvsxufwow.dll C:\WINDOWS\356913MM.DLL C:\WINDOWS\system32\DAADAA1037.dll C:\WINDOWS\system32\CBB-CBB-1028.dll C:\WINDOWS\system32\NNNNNN1026.dll C:\WINDOWS\system32\BAABAA1027.dll C:\WINDOWS\system32\zjydcx.dll C:\WINDOWS\system32\QABQAB1014.dll C:\WINDOWS\system32\IGB_WMSJ_1012.dll C:\WINDOWS\system32\hhrdxd.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\IGB_WD_1029.dll C:\WINDOWS\system32\JADJAD1038.dll C:\WINDOWS\system32\HACHAC1035.dll C:\WINDOWS\system32\hjiq.dll C:\WINDOWS\system32\cuhad.dll C:\WINDOWS\system32\xjxr.dll C:\WINDOWS\system32\sve.dll C:\WINDOWS\system32\gnolnait.dll 重启计算机以后会有两个系统进入的选择的倒计时界面第一个是你原来的windows系统第二个是这个软件给你设定的dos系统系统会自动选择进入第二个系统类似dos的界面滚动完毕以后病毒就被删除了之后会自动重启进入正常模式进入系统后，再做下面的： ———————————————————————————————————————— 去C:\WINDOWS\system32\dllcache文件夹里找userinit.exe和ctfmon.exe文件，复制到C:\WINDOWS\system32文件夹里替换。或者在在这里的1楼的附件里下载： http://forum.ikaka.com/topic.asp?board=28&artid=8417665 替换前先在任务管理器中结束Userinit.exe和ctfmon.exe进程。没进程就直接替换。 ================================== 正在运行的进程 [PID: 1624 / Administrator][C:\WINDOWS\system32\userinit.exe] [N/A, ] [PID: 188 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [N/A, ] ———————————————————————————————————— 在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：启动项目注册表 <WinSysM><C:\WINDOWS\356913M.exe> [N/A] <upxdnd><C:\WINDOWS\upxdnd.exe> [] <Wingin><C:\WINDOWS\system32\Wingin.exe> [Microsoft Corporation] <{64dd239d-f123-4721-93b3-fc306fc0cd29}><C:\WINDOWS\system32\DAADAA1037.dll> [] <{13c373a3-5c83-4630-a05c-6df57c5546f8}><C:\WINDOWS\system32\CBB-CBB-1028.dll> [] <{548ecd3f-89c5-4cfa-ad72-73f41a403932}><C:\WINDOWS\system32\NNNNNN1026.dll> [] <{e13868c9-0cd5-49ea-bef6-ad53795dad85}><C:\WINDOWS\system32\BAABAA1027.dll> [] <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> [] <{0e8b1c73-46fb-46fa-95ab-d8a72dc4bd57}><C:\WINDOWS\system32\QABQAB1014.dll> [] <{f72a53cc-81ba-4c3b-a2a8-34d6c9d3b8e8}><C:\WINDOWS\system32\IGB_WMSJ_1012.dll> [] <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> [] <{4b464b71-046a-461d-af62-858aaf73f582}><C:\WINDOWS\system32\IGB_WD_1029.dll> [] <{45abe40c-9cfe-416c-8a75-209a385350a7}><C:\WINDOWS\system32\JADJAD1038.dll> [] <{cd51bd9c-6264-4df0-96bf-8603019818e5}><C:\WINDOWS\system32\HACHAC1035.dll> [] ———————————————————————————————————————————————— 下面这两服务不认识，自己判断了，愿意的话在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，或将启动类型改为“Disabled” ================================== 服务 [3ware Controller Service / 3wareSrv][Stopped/Disabled] <C:\WINDOWS\System32\3wareSrv.exe><N/A> [System Interface Device Access / SIDA][Stopped/Auto Start] <C:\Program Files\Common Files\nqdevic\Cmdlkex.exe><N/A> ———————————————————————————————————— 在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除 ================================== 驱动程序 [fhzl2 / fhzl2][Stopped/Manual Start] <\??\C:\WINDOWS\system32\drivers\fhzl2.ahc><N/A> [iCafe Update / iCafe Update][Stopped/Manual Start] <\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A> [mhfp / mhfp][Stopped/Auto Start] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpD.tmp><N/A> [msert / msert][Running/Auto Start] <system32\drivers\mselk.sys><N/A> [msertk / msertk][Running/Auto Start] <system32\drivers\msyecp.sys><N/A> [XDva090 / XDva090][Stopped/Manual Start] <\??\C:\WINDOWS\system32\XDva090.sys><N/A> [ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start] <\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A> [fpids32 / fpids32][Running/Auto Start] <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A> [QJ / QJ][Stopped/Manual Start] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp36.tmp><N/A> ———————————————————————————————————————————— 下面这个也不知道什么，自己判断了，愿意的话在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除 ================================== 浏览器加载项 [Blocker Class] {EBF22F53-896C-48b1-9986-0891F7709EC9} <C:\WINDOWS\system32\surhost.dll, Microsoft Corporation> [NeoPlayer Class] {881DD649-257D-4683-91CA-3AB5EE5C1DBC} <C:\Program Files\hnnn\NeoPlugIn.dll, > [Blocker Class] {EBF22F53-896C-48B1-9986-0891F7709EC9} <C:\WINDOWS\system32\surhost.dll, Microsoft Corporation> ———————————————————————————————————— 再重启电脑，升级杀毒软件至最新版本，全盘杀毒。这里官网下载Windows清理助手，清理你那系统。 http://www.arswp.com/
天月来了版主帖子:76904 注册: 2007-02-06 来自:

ETfox 初生襁褓狮帖子:7 注册: 2008-02-23 来自:	发表于： 2008-02-23 21:33 \| 只看楼主短消息资料字号：小中大 5楼太感谢`~拉啊啊 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~完全好了`~！！！！！
ETfox 初生襁褓狮帖子:7 注册: 2008-02-23 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

ETfox 初生襁褓狮帖子:7 注册: 2008-02-23 来自:	发表于： 2008-02-23 18:40 \| 只看楼主短消息资料字号：小中大 1楼【求助】Backdoor.Win32.Gpigeon.2007.el zhe ge bing du gao de wo lian shu ru fa dou mei le nan dao zhe ge bing du wu jie ma? ????? qing jing kuai hui fu jie jue fang an ~~!!! j [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 2008-02-23 21:21:48
ETfox 初生襁褓狮帖子:7 注册: 2008-02-23 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】Backdoor.Win32.Gpigeon.2007.el

【求助】Backdoor.Win32.Gpigeon.2007.el

【求助】Backdoor.Win32.Gpigeon.2007.el

附件:

文件名:10166232008223185342.txt 下载次数:100 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(40882); 上传时间:2008-2-23 19:05:27 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】Backdoor.Win32.Gpigeon.2007.el

文件名:10166232008223185342.txt

下载次数:100

文件类型:application/octet-stream

文件大小:

上传时间:2008-2-23 19:05:27

描述: