1   1  /  1  页   跳转

SOS!大家帮我下!

收藏
£逍遥生£
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2004-02-05
  • 来自:
发表于: 2006-12-02 23:17 | 只看楼主 短消息 资料
字号: 1楼

SOS!大家帮我下!

我用瑞星听诊器发现的:未知家族病毒分析
扫描结果:
C:\Program Files\Internet Explorer\IEXPLORE.EXE --> 与 Backdoor.Gpigeon 71%相似.
可以提取不上来!怎么办!
最后编辑2006-12-03 22:15:30
分享到:
gototop
 
猪知山
头像
锋芒艾服狮
  • 帖子:1891
  • 注册: 2005-03-11
  • 来自:
发表于: 2006-12-02 23:32 | 短消息 资料
字号: 2楼

请到我的网盘http://free5.ys168.com/?echowj下载Hijackthis
下载后运行HijackThis.rar,再运行HijackThis.exe
单击"扫描日志并保存日志"
把保存的日志复制粘贴上来. 日志一次粘不完,分次粘完,请不要修改.
查到病毒的,把病毒文件名和路径提供下。描述下故障现象
gototop
 
£逍遥生£
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2004-02-05
  • 来自:
发表于: 2006-12-03 13:18 | 只看楼主 短消息 资料
字号: 3楼

Logfile of HijackThis v1.99.1
Scan saved at 13:07:08, on 2006-12-3
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
D:\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Rav\RavStub.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Rav\RavTask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bliss\桌面\Hijackthis\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - F:\迅雷 5\ComDlls\XunLeiBHO_004.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTask] "D:\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [StormCodec_Helper] "F:\暴风影音\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [InsertImage] F:\DFVCD2003\InsertImage.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [RavStub] "D:\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &使用迅雷下载 - F:\迅雷 5\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - F:\迅雷 5\Program\GetAllUrl.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - F:\迅雷 5\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - F:\迅雷 5\Thunder.exe
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\浩方对战平台\GameClient.exe
O9 - Extra button: 联想 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.lenovo.com (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D353BC-0B33-489D-8B5B-EBC209D041AE}: NameServer = 218.85.157.99 202.101.98.55
O23 - Service: Gray_Pigeon\1 (erver1.23) - Unknown owner - C:\WINDOWS\G_Server23
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Rav\Ravmond.exe
O23 - Service: Gray_Pigeon (Server1.23) - Unknown owner - C:\WINDOWS\G_Serve
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-12-03 13:23 | 短消息 资料
字号: 4楼

修复
O23 - Service: Gray_Pigeon (Server1.23) - Unknown owner - C:\WINDOWS\G_Serve
O23 - Service: Gray_Pigeon\1 (erver1.23) - Unknown owner - C:\WINDOWS\G_Server23
重启后我的电脑,工具,文件夹选项,查看,显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉删除C:\WINDOWS\G_Serve,C:\WINDOWS\G_Server23
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-12-03 13:25 | 短消息 资料
字号: 5楼

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
修复
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-12-03 13:52 | 短消息 资料
字号: 6楼

【回复“£逍遥生£”的帖子】
修复
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

=========

开始--控制面板--性能和维护--管理工具--服务
禁用如下服务:
Gray_Pigeon\1 (erver1.23)
Gray_Pigeon (Server1.23)

===========

开始--运行
输入regedit
确定
进入注册表
依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services](X代表1,2,3,4....)
找到后删除如下文件夹:
erver1.23
Server1.23

依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Enum\Root\](X代表1,2,3,4....)
删除如下文件夹:
LEGACY_erver1.23
LEGACY_Server1.23

============

删除
C:\WINDOWS\G_Server23.exe
C:\WINDOWS\G_Serve.exe

若能找到如下文件
同样删除之
C:\WINDOWS\G_Server23.dll
C:\WINDOWS\G_Server23_hook.dll
C:\WINDOWS\G_Server23key.dll
C:\WINDOWS\G_Serve.dll
C:\WINDOWS\G_Serve_hook.dll
C:\WINDOWS\G_Servekey.dll
gototop
 
£逍遥生£
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2004-02-05
  • 来自:
发表于: 2006-12-03 21:30 | 只看楼主 短消息 资料
字号: 7楼

G_Serve还是删除不了~我在安全模式下删除可以吗?
还有个问题。RsDetect扫描发现个:
C:\Program Files\Internet Explorer\IEXPLORE.EXE --> 与 Backdoor.Gpigeon 71%相似.可以提取不上!怎么办
未知家族病毒分析
扫描结果:
C:\Program Files\Internet Explorer\IEXPLORE.EXE --> 与 Backdoor.Gpigeon 71%相似.


系统活动进程
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM32\MSACM32.DRV

C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\MSACM32.DRV
gototop
 
一生①世
头像
初生襁褓狮
  • 帖子:106
  • 注册: 2006-12-03
  • 来自:
发表于: 2006-12-03 22:24 | 短消息 资料
字号: 8楼

同意3楼的!!!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT