求助！！！新买的本本就中招了，请版主帮忙！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛求助！！！新买的本本就中招了，请版主帮忙！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

求助！！！新买的本本就中招了，请版主帮忙！

bobgnaw 初生襁褓狮帖子:4 注册: 2006-10-10 来自:	发表于： 2006-10-10 22:56 \| 只看楼主短消息资料字号：小中大 1楼求助！！！新买的本本就中招了，请版主帮忙！国庆期间新买的hp笔记本，还没怎么用就中了病毒，瑞星报告是Backdoor.Gpigeon.azg ，看了一些老贴，照着去做可还是不行。下面是HijackThis v1.99.1的扫描报告，请版主帮忙看看，谢了。 Logfile of HijackThis v1.99.1 Scan saved at 22:12:02, on 2006-10-10 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Rising\Rav\Ravmond.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Rising\Rav\RavStub.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\SYSTEM32\RUNDLL.EXE C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\TDdownload\ha_hijackthis_1991\HijackThis.exe F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\BaiduBar.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\BaiduBar.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra 'Tools' menuitem: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll O9 - Extra 'Tools' menuitem: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll O9 - Extra button: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing) O9 - Extra 'Tools' menuitem: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing) O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:\WINDOWS\webwork\webwork.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe O23 - Service: Netsrv Work Services - Unknown owner - C:\WINDOWS\services.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe 瑞星显示iexplore.exe>>C:\Program Files\Internet Explorer\iexplore.exe 2006-10-10 23:59:06
bobgnaw 初生襁褓狮帖子:4 注册: 2006-10-10 来自:	分享到：

猪知山锋芒艾服狮帖子:1891 注册: 2005-03-11 来自:	发表于： 2006-10-10 23:01 \| 短消息资料字号：小中大 2楼修复O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll 开始运行 regedit 展开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 删除BlueSoleil Hid Service， Netsrv Work Services 搜索services.exe，BTNtService.exe 找到全部删除重启后删除C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\services.exe
猪知山锋芒艾服狮帖子:1891 注册: 2005-03-11 来自:

bobgnaw 初生襁褓狮帖子:4 注册: 2006-10-10 来自:	发表于： 2006-10-10 23:16 \| 只看楼主短消息资料字号：小中大 3楼猪知山谢谢，我试试又出现了新问题，在上网是会出现“Generic Host Process for Win32 Services 遇到问题需要关闭。我们对此引起的不便表示抱歉”的警告，接着就什么也上不了了，连接也无法断开。这又是咋回事？
bobgnaw 初生襁褓狮帖子:4 注册: 2006-10-10 来自:

羽当以化初生襁褓狮帖子:607 注册: 2006-06-07 来自:	发表于： 2006-10-10 23:21 \| 短消息资料字号：小中大 4楼 C:\WINDOWS\SYSTEM32\RUNDLL.EXE 压缩发到yuhua1987@126.com 结束进程，删除文件 O23 - Service: Netsrv Work Services - Unknown owner - C:\WINDOWS\services.exe 参考 http://forum.ikaka.com/topic.asp?board=28&artid=7713905 下载超级兔子运行它的清理王卸载流氓软件（建议安全模式下） http://www.pctutu.com/srmsdown.asp 运行它的IE修复专家快速检测系统强力修复winsock2（卸载流氓软件后不能上网修复这个）打全系统补丁
羽当以化初生襁褓狮帖子:607 注册: 2006-06-07 来自:

猪知山锋芒艾服狮帖子:1891 注册: 2005-03-11 来自:	发表于： 2006-10-10 23:23 \| 短消息资料字号：小中大 5楼引用：解决WINXP系统开机后弹出Generic host process for win32 services 遇到问题需要关闭！出现上面这个错误一般有三种情况。 1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止，然后就自动重起电脑。一般该病毒会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立 msblast.exe键值，还会在c:\windows\system32目录下会放置一个msblast.exe的木马程，解决方案如下： RPC漏洞详细描述: 最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口，这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限，他将可以在系统上运行任意命令，如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等. 已发现的一个攻击现象：攻击者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run 下建立一个叫“msupdate”(估计有变化)的键，键值一般为msblast.exeC:\windows\system32目录下会放置一个msblast.exe的木马程序. 另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止，Windows必须立即重新启动”等错误信息而重启。建议到http://www.microsoft.com/security/s...ns/ms03-026.asp下载相应补丁。如果已受攻击，建议先拔掉网线，在任务管理器中结束msblast.exe进程，清除注册表中的相应条目，删除system32下的木马程序，最后打补丁。第二种情况是排除病毒后，还出现这样的问题，一般都是IE组件在注册表中注册信息被破坏，可以按下面的方法去解决该问题： 1。在"开始"菜单中打开"运行"窗口，在其中输入"regsvr32 actxprxy.dll"，然后"确定"，接着会出现一个信息对话框"DllRegisterServer in actxprxy.dll succeeded"，再次点击"确定"。　　　2 再次打开"运行"窗口，输入"regsvr32 shdocvw.dll 　　　3 再次打开"运行"窗口，输入"regsvr32 oleaut32.dll 　　　4 再次打开"运行"窗口，输入"regsvr32 actxprxy.dll 　　　5 再次打开"运行"窗口，输入"regsvr32 mshtml.dll 　　　6 再次打开"运行"窗口，输入"regsvr32 msjava.dll 　　　7 再次打开"运行"窗口，输入"regsvr32 browseui.dll 　　　8 再次打开"运行"窗口，输入"regsvr32 urlmon.dll 如果排除病毒问题后，做完上面的几个IE组件注册一般问题即可得到解决。 3.如果电脑有打印机，还可能是因为打印机驱动安装错误，也会造成这个错误。解决方法如下：重装打印机驱动程序。一般情况下做到上面三步后，该问题即可得到全面解决。
猪知山锋芒艾服狮帖子:1891 注册: 2005-03-11 来自:

bobgnaw 初生襁褓狮帖子:4 注册: 2006-10-10 来自:	发表于： 2006-10-10 23:29 \| 只看楼主短消息资料字号：小中大 6楼仔细阅读中，先谢谢了
bobgnaw 初生襁褓狮帖子:4 注册: 2006-10-10 来自:

bobgnaw 初生襁褓狮帖子:4 注册: 2006-10-10 来自:	发表于： 2006-10-11 00:07 \| 只看楼主短消息资料字号：小中大 7楼终于把木马杀掉了，感激不尽
bobgnaw 初生襁褓狮帖子:4 注册: 2006-10-10 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT