瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】杀不掉Backdoor.Gpigeon.wdw 重起又有

12   1  /  2  页   跳转

【求助】杀不掉Backdoor.Gpigeon.wdw 重起又有

收藏
wuaoasi
头像
健康舞勺狮
  • 帖子:188
  • 注册: 2005-12-21
  • 来自:
发表于: 2006-03-06 23:22 | 只看楼主 短消息 资料
字号: 1楼

【求助】杀不掉Backdoor.Gpigeon.wdw 重起又有

下载文件!监控发现病毒 Backdoor.Gpigeon.wdw    C:\WINDOWS\system32\winsspool.DLL 删除成功!
重起又发现病毒!! 安全模式没杀出病毒!! 重起后又发现病毒!! 快帮我!!

HijackThis_815汉化版扫描日志 V1.99.1
保存于      23:01:59, 日期 2006-3-6
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
e:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
e:\Program Files\Rising\Rav\Ravmond.exe
e:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
e:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
E:\Program Files\Logitech\iTouch\iTouch.exe
E:\Program Files\Rising\Rav\RavTask.exe
E:\Program Files\Rising\Rfw\rfwmain.exe
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Rising\Rav\Ravmon.exe
E:\Program Files\DrCOM\Dr.COM 宽带登录客户端\ishare_user.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - 启动项HKLM\\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - 启动项HKLM\\Run: [SlowDownCPU] C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
O4 - 启动项HKLM\\Run: [zBrowser Launcher] e:\Program Files\Logitech\iTouch\iTouch.exe
O4 - 启动项HKLM\\Run: [RavTask] "e:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "e:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [ATIPTA] C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - E:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - E:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdog0.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdog0.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdog0.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdogr0.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\tcpipdogr0.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139835906640
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Microsoft(R) Windows(R) Operat (Microsoft Corporation) - Unknown owner - C:\WINDOWS\system32\winsspool.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - e:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - e:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - e:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

最后编辑2006-03-13 14:22:05
分享到:
gototop
 
xixiang
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2005-12-14
  • 来自:
发表于: 2006-03-07 06:52 | 短消息 资料
字号: 2楼

http://it.rising.com.cn/service/technology/Ravgpk_Download1.htm

用“灰鸽子”专用检测清除工具去杀杀吧.
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-03-07 07:49 | 短消息 资料
字号: 3楼

【回复“wuaoasi”的帖子】
修复
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - NT 服务: Microsoft(R) Windows(R) Operat (Microsoft Corporation) - Unknown owner - C:\WINDOWS\system32\winsspool.exe

重启后删除
C:\WINDOWS\system32\winsspool.exe
C:\WINDOWS\system32\winsspool.DLL

有关灰鸽子可参考
http://forum.ikaka.com/topic.asp?board=28&artid=7713905
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-03-07 07:54 | 短消息 资料
字号: 4楼

断网,关闭IE,
清空临时文件夹,
(找到C:\WINDOWS\system32\winsspool.exe  这个文件,打包发到下面这个邮箱)
baohelin@yahoo.com.cn
至于下面这个鸽子,你可以先按本版置顶的那篇针对鸽子的帖子试下~~(Microsoft Corporation  是鸽子的服务项名)
O23 - NT 服务: Microsoft(R) Windows(R) Operat (Microsoft Corporation) - Unknown owner - C:\WINDOWS\system32\winsspool.exe
gototop
 
wuaoasi
头像
健康舞勺狮
  • 帖子:188
  • 注册: 2005-12-21
  • 来自:
发表于: 2006-03-07 08:27 | 只看楼主 短消息 资料
字号: 5楼

【回复“不言放弃”的帖子】c:\windows\system32\tcpipdog0.dll
是我上网客户端DR.COM的文件也要删呀!!还是被感染了!!
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-03-07 08:54 | 短消息 资料
字号: 6楼

【回复“wuaoasi”的帖子】
不好意思
误导楼主了
我已经编辑了我的贴子
你再参考一下吧

对不起了
gototop
 
wuaoasi
头像
健康舞勺狮
  • 帖子:188
  • 注册: 2005-12-21
  • 来自:
发表于: 2006-03-07 10:13 | 只看楼主 短消息 资料
字号: 7楼

引用:
【不言放弃的贴子】【回复“wuaoasi”的帖子】
不好意思
误导楼主了
我已经编辑了我的贴子
你再参考一下吧

对不起了
...........................

完了大哥!!我现在不行呀!! 按照你的操作!! 重起没病毒!可 这次瑞星的邮件监控被关闭了!无法开启!!! 也无法上网了!!
居于网也打不开本地连接受限制!!
Windows Firewall/Internet Connection Sharing (ICS) 服务因下列错误而停止:
使用了与请求的协议不兼容的地址。
计算机未能自动配置网络地址为 001109D2C192 的网卡的 IP 参数。 配置期间,出现了以下错误: 因为它使用提供网络服务的系统目前无效,WSAStartup 目前不能正常工作

是不是删了tcpipdog0.dll 这个造成的!!

附件附件:

下载次数:250
文件类型:image/pjpeg
文件大小:
上传时间:2006-3-7 10:13:24
描述:
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-03-07 10:26 | 短消息 资料
字号: 8楼

5555555555555555

使用LSPFix把tcpipdog0.dll从LSPFix页面右边的框中修复到左边的框中
然后重启

==============
不过曾看过好多贴子
一般都把tcpipdog0.dll文件修复掉
郁闷这一次反而惹出乱子来了
gototop
 
wuaoasi
头像
健康舞勺狮
  • 帖子:188
  • 注册: 2005-12-21
  • 来自:
发表于: 2006-03-07 11:50 | 只看楼主 短消息 资料
字号: 9楼

【回复“不言放弃”的帖子】
 右边没有呀!!
我用还原精灵搞定了!!
gototop
 
wuaoasi
头像
健康舞勺狮
  • 帖子:188
  • 注册: 2005-12-21
  • 来自:
发表于: 2006-03-13 13:35 | 只看楼主 短消息 资料
字号: 10楼

呵呵!!也没关系!!
俺相信你!! 你也是不小心!!
俺也没说清楚!!我安装了DR.COM上网客户端!!!
俺上次中鸽子也是你教俺怎么清除的!!
就没出意外!!! 还记得吧!!!
呵呵!!  俺继续支持你!!!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT