瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中了Backdoor.Win32.Gpigeon.a,每次用瑞星杀掉后重启还是有

1   1  /  1  页   跳转

[求助] 中了Backdoor.Win32.Gpigeon.a,每次用瑞星杀掉后重启还是有

收藏
hoffland
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-11-11
  • 来自:
发表于: 2008-11-11 18:28 | 只看楼主 短消息 资料
字号: 1楼

中了Backdoor.Win32.Gpigeon.a,每次用瑞星杀掉后重启还是有

中了Backdoor.Win32.Gpigeon.a,每次用瑞星杀掉后重启还是有

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)

附件附件:

文件名:SREngLOG.log
下载次数:16398
文件类型:application/octet-stream
文件大小:
上传时间:2008-11-11 18:27:35
描述:log
分享到:
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-11-11 19:12 | 短消息 资料
字号: 2楼

回复: 中了Backdoor.Win32.Gpigeon.a,每次用瑞星杀掉后重启还是有

以下是我个人认为的问题项目,不排除误判:

=================================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MPMKrnl><rundll32 "C:\WINDOWS\MKMKrnl.dll",KMainProc>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <Webcam><C:\Program Files\Messenger\msgswcam.dll>  [File is missing]
    <ThunderAdvise><>  [N/A]
    <C:\WINDOWS\system32\gffqfjnj.dll><>  [N/A]
上面红色的注册表值项已经怀疑很久了,苦无证据……

服务
[Windows Presentation Foundaution (WPF) / appliuucation][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k appliuucation-->C:\WINDOWS\system32\ZCOGYcQSidi.dll><N/A>
[MS Media Controler / MediaC][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k krnlsrvc-->C:\WINDOWS\system32\NerrtHG.dll><@ Microsoft Corporation. All rights reserved.>
[National Instruments Domain Service / National][Running/Auto Start]
  <C:\WINDOWS\system32\QQPlatform.exe><>
[SRAT_Service / SRAT_Service][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\drivers\etc\eMthxqlT.dll><N/A>
[WINNT / WINNTMAGE][Running/Auto Start]
  <C:\WINDOWS\doc><N/A>
[zjadfz / zjadfz][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k zjadfz-->%SystemRoot%\System32\ycoaut.dll><N/A>

驱动程序
[00018075 / 00018075][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\00018075.sys><N/A>
[014839e1 / 014839e1][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\014839e1.sys><N/A>
[compbatcDrv / compbatcDrv][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\compbatc.sys><N/A>
[yjadfzbs / yjadfzbs][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\ycoaut.sys><N/A>
[yqhjwhen / yqhjwhen][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\gplpax.sys><N/A>

浏览器加载项
[网址大全]
  {C18CB140-0BBB-11D4-8FE8-0088CC102438} <http://www.k369.com, N/A>

正在运行的进程
c:\windows\system32\nerrthg.dll
C:\WINDOWS\system32\QQPlatform.exe
C:\WINDOWS\doc
C:\WINDOWS\MKMKrnl.dll
===============================================
打酱油的……
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2008-11-11 19:22 | 短消息 资料
字号: 3楼

回复:中了Backdoor.Win32.Gpigeon.a,每次用瑞星杀掉后重启还是有

楼主,报病毒的文件的详细路径 也提供一下

搜索一下 ThunderAdvise.dll,看有没有这个文件,上传到www.virustotal.com检查

然后,开始-运行-regedit回车
搜索 ThunderAdvise,将找到的结果截图上传下(第二次按F3搜,搜到没有为止)

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ati2sgag.exe
也上传到www.virustotal.com检查


完了再操作下面的


使用XDelBox删除以下文件:(XDelBox,点击后进原创软件下载) 下载
解压到C盘根目录运行,运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)
复制下面的文件列表
c:\windows\system32\zcogycqsidi.dll
c:\windows\system32\ycoaut.dll
C:\WINDOWS\system32\NerrtHG.dll
c:\windows\doc
c:\windows\system32\drivers\etc\emthxqlt.dll
c:\windows\system32\drivers\00018075.sys
c:\windows\system32\drivers\014839e1.sys
c:\windows\system32\drivers\gplpax.sys
c:\windows\system32\drivers\ycoaut.sys
c:\windows\system32\compbatc.sys
c:\windows\system32\compbatc.ocx
c:\windows\system32\nerrthg.dll
C:\WINDOWS\system32\QQPlatform.exe
C:\WINDOWS\MKMKrnl.dll
C:\WINDOWS\MPKrnl.dll
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ati2sgag.exe
如果上面两行的文件不是恶意文件,不用复制,否则也要复制
打开XDELBOX,一定勾上3个勾
在XDELBOX待删除文件列表里点击右键---从剪贴板导入不检查路径,
导入后在要删除文件上点击右键---立刻重启删除,
2.删除重启后使用SREng修复下面各项:
    启动项目 -- 注册表之如下项删除:
[MPMKrnl]    <rundll32 "C:\WINDOWS\MKMKrnl.dll",KMainProc>
[MPKrnl]    <rundll32 "C:\WINDOWS\MPKrnl.dll",KrnlMsgProc>
    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Windows Presentation Foundaution (WPF) / appliuucation]    <C:\WINDOWS\System32\svchost.exe -k appliuucation-->C:\WINDOWS\system32\ZCOGYcQSidi.dll>
[zjadfz / zjadfz]    <C:\WINDOWS\system32\svchost.exe -k zjadfz-->%SystemRoot%\System32\ycoaut.dll>
[WINNT / WINNTMAGE]    <C:\WINDOWS\doc>
[SRAT_Service / SRAT_Service]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\drivers\etc\eMthxqlT.dll>
[MS Media Controler / MediaC]    <C:\WINDOWS\System32\svchost.exe -k krnlsrvc-->C:\WINDOWS\system32\NerrtHG.dll>
    启动项目 -- 服务-- 驱动程序之如下项禁用:
[00018075 / 00018075]    <\??\C:\WINDOWS\system32\Drivers\00018075.sys>
[014839e1 / 014839e1]    <\??\C:\WINDOWS\system32\Drivers\014839e1.sys>
[yqhjwhen / yqhjwhen]    <\??\C:\WINDOWS\system32\drivers\gplpax.sys>
[yjadfzbs / yjadfzbs]    <\??\C:\WINDOWS\system32\drivers\ycoaut.sys>
[compbatcDrv / compbatcDrv]    <\??\C:\WINDOWS\system32\compbatc.sys>

杀毒软件全盘扫描,卸载QQ,重新安装官方正式版的





最后编辑天云一剑 最后编辑于 2008-11-11 21:28:36
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
zftq
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-11-11
  • 来自:
发表于: 2008-11-11 19:47 | 短消息 资料
字号: 4楼

回复:中了Backdoor.Win32.Gpigeon.a,每次用瑞星杀掉后重启还是有

请问MKMKrnl.dll是干什么用啊?我用了2008下载版后起动后老是
说找不到MKMKrnl.dll文件?                谢谢!
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2008-11-11 20:03 | 短消息 资料
字号: 5楼

回复:中了Backdoor.Win32.Gpigeon.a,每次用瑞星杀掉后重启还是有

是恶意软件或病毒的文件,楼上如有问题请开帖描述
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT