如何杀掉这个讨厌的灰鸽子啊【求助】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛如何杀掉这个讨厌的灰鸽子啊【求助】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

如何杀掉这个讨厌的灰鸽子啊【求助】

天空dē种子初生襁褓狮帖子:14 注册: 2007-06-25 来自:	发表于： 2007-06-25 22:07 \| 只看楼主短消息资料字号：小中大 1楼如何杀掉这个讨厌的灰鸽子啊【求助】 Backdoor.Gpigeon.2006.iwk,讨厌的鸽子,一开机就有.用HijackThis v2.0.0扫描了下，有日志，高手帮帮忙撒。 Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 21:30:25, on 2007-6-25 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe D:\瑞星杀毒\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe D:\瑞星杀毒\Rising\Rav\Ravmond.exe d:\瑞星防火墙\rising\rfw\rfwsrv.exe C:\WINDOWS\system32\spoolsv.exe D:\瑞星杀毒\Rising\Rav\RavStub.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE D:\瑞星杀毒\Rising\Rav\RavTask.exe D:\瑞星杀毒\Rising\Rav\Ravmon.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe d:\瑞星防火墙\rising\rfw\RfwMain.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe D:\腾讯QQ 2007 珊瑚虫集成版 v5.0 RC2\QQ\QQ.exe D:\腾讯QQ 2007 珊瑚虫集成版 v5.0 RC2\QQ\TIMPlatform.exe D:\瑞星杀毒\Rising\Rav\RsAgent.exe C:\WINDOWS\msagent\AgentSvr.exe F:\HiJackThis_v2\HiJackThis_v2.exe R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [RavTask] "D:\瑞星杀毒\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [jfproc] ; F:\ppfilm\jfCacheMgr.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [System Boot Check] C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WPMZW96V\qq[1].exe O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user') O4 - Startup: 珊瑚虫.lnk = ? O4 - Startup: RsAutorunsDisabled O4 - Global Startup: RsAutorunsDisabled O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\腾讯QQ 2007 珊瑚虫集成版 v5.0 RC2\QQ\AddToNetDisk.htm O8 - Extra context menu item: 使用Web迅雷下载 - F:\迅雷\GetUrl.htm O8 - Extra context menu item: 使用Web迅雷下载全部链接 - F:\迅雷\GetAllUrl.htm O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: 添加到QQ自定义面板 - D:\腾讯QQ 2007 珊瑚虫集成版 v5.0 RC2\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - D:\腾讯QQ 2007 珊瑚虫集成版 v5.0 RC2\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\腾讯QQ 2007 珊瑚虫集成版 v5.0 RC2\QQ\SendMMS.htm O9 - Extra button: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing) O9 - Extra 'Tools' menuitem: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing) O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1E0DFFCF-27FF-4574-849B-55007349FEDA} (iTrusPTA Class) - https://img.alipay.com/download/1009/aliedit.cab O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab O16 - DPF: {8686F2A6-DC01-4E8F-BDE3-DCC7DBBAD6AE} (163Uploader Control) - http://photo.163.com/163Uploader.cab O16 - DPF: {C09B522F-8AED-4E21-A65C-DC1AB652BAEE} (Tencent Safety Online Base Module) - http://safe.qq.com/cgi-bin/tso/TSOBase.ocx O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (PasswordEditCtrl Class) - https://password.qq.com/download/qqedit2.cab O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - F:\KuGoo3\InExtend\KuGoo3DownXControl.ocx O22 - SharedTaskScheduler: Browseui 预加载程序 - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: 组件类别缓存程序 - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\瑞星防火墙\rising\rfw\rfwproxy.exe O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\瑞星防火墙\rising\rfw\rfwsrv.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\瑞星杀毒\Rising\Rav\CCenter.exe O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星杀毒\Rising\Rav\Ravmond.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O24 - Desktop Component 0: (no name) - http://imgcache.qq.com/qzone/blog/script/common.js -- End of file - 5627 bytes 2007-06-27 03:22:25
天空dē种子初生襁褓狮帖子:14 注册: 2007-06-25 来自:	分享到：

a68857110 横据古稀狮帖子:11080 注册: 2007-05-07 来自:rising茶馆	发表于： 2007-06-26 00:38 \| 短消息资料字号：小中大 2楼不是有专杀吗
a68857110 横据古稀狮帖子:11080 注册: 2007-05-07 来自:rising茶馆

天空dē种子初生襁褓狮帖子:14 注册: 2007-06-25 来自:	发表于： 2007-06-26 19:33 \| 只看楼主短消息资料字号：小中大 3楼杀不掉啊，这个是新产品吧,查不到啊。帮帮忙啊，怎么弄都弄不掉，谢谢啊!!!
天空dē种子初生襁褓狮帖子:14 注册: 2007-06-25 来自:

有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東	发表于： 2007-06-26 19:43 \| 短消息资料字号：小中大 4楼修复 O4 - HKCU\..\Run: [System Boot Check] C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WPMZW96V\qq[1].exe O4 - HKLM\..\Run: [jfproc] ; F:\ppfilm\jfCacheMgr.exe
有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東

午时三时分初生襁褓狮帖子:4 注册: 2007-06-26 来自:	发表于： 2007-06-26 19:50 \| 短消息资料字号：小中大 5楼灰鸽子手工杀毒办法需要借助工具软件：冰刃。一般用户无法根据进程列表看出哪个是病毒，你可以启动冰刃的同时，打开任务管理器，比较一下，看冰刃里多出的一个进程，可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标，需要重点关注。选中图中G_server2007进程，单击右键，结束进程。结束进程后，我们直接根据上图冰刃的提示，点冰刃左边的文件，浏览到上图程序名称提示的文件夹，找到g_server2007.exe和g_server2007.DLL（灰鸽子中毒后的文件名各不相同，是由攻击者定制的，应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll，可以查看下文件日期，应该是同时生成的。）点击右键，彻底删除掉。附件: 文件名:8887142007626194022.jpg 下载次数:238 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-26 19:50:37 描述:
午时三时分初生襁褓狮帖子:4 注册: 2007-06-26 来自:

午时三时分初生襁褓狮帖子:4 注册: 2007-06-26 来自:	发表于： 2007-06-26 19:53 \| 短消息资料字号：小中大 6楼如何防止灰鸽子袭击　 1. 及时安装系统补丁。 2. 及时升级杀毒软件，注意检查你使用的杀毒软件是否过期，盗版不能正常升级的，特别需要检查。 3. 对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。附件: 文件名:8887142007626194244.jpg 下载次数:242 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-26 19:53:01 描述:
午时三时分初生襁褓狮帖子:4 注册: 2007-06-26 来自:

午时三时分初生襁褓狮帖子:4 注册: 2007-06-26 来自:	发表于： 2007-06-26 19:55 \| 短消息资料字号：小中大 7楼病毒名称： Win32.Hack.Huigezi 中文名称：灰鸽子病毒类型：木马受影响系统：Win9x/ME，Win2000/NT，WinXP 或者下载”灰鸽子”专杀工具金山专杀工具适用平台：WinNT/2000/XP/2003 工具大小：309KB 工具说明：可清除灰鸽子的全部变种，支持在线更新江民专杀工具适用平台：Win9x/ME,Win2000,Win2003，WinXP 工具大小：307 KB 工具说明：查杀灰鸽子木马病毒以及灰鸽子变种
午时三时分初生襁褓狮帖子:4 注册: 2007-06-26 来自:

天空dē种子初生襁褓狮帖子:14 注册: 2007-06-25 来自:	发表于： 2007-06-26 21:50 \| 只看楼主短消息资料字号：小中大 8楼那些专杀搞了，找不到，查了半天也没有找到。看样子需要些别的方法。不过金山查到了个可疑文件，PAStiSvc.exe *不知道是不是它.看样子要使使冰刃啦,谢谢各位。
天空dē种子初生襁褓狮帖子:14 注册: 2007-06-25 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2007-06-26 22:12 \| 短消息资料字号：小中大 9楼 http://www.kztechs.com/sreng/sreng2.zip 下载System Repair Engineer 1 解压缩sreng2.zip 2 运行SREng.exe 3 智能扫描=》扫描=》保存报告 4 把日志中的报告完整拷贝贴上来，不要修改
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

天空dē种子初生襁褓狮帖子:14 注册: 2007-06-25 来自:	发表于： 2007-06-26 22:23 \| 只看楼主短消息资料字号：小中大 10楼 [CODE] 2007-06-25,22:19:28 System Repair Engineer 2.4.12.806 Smallfrogs (http://www.KZTechs.com) Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能以下内容被选中：所有的启动项目（包括注册表、启动文件夹、服务等）浏览器加载项正在运行的进程（包括进程模块信息）文件关联 Winsock 提供者 Autorun.inf HOSTS 文件启动项目注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher] <System Boot Check><C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WPMZW96V\qq[1].exe> [N/A] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <RavTask><"D:\瑞星杀毒\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.] <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [(Verified)"RealNetworks, Inc."] <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [NVIDIA Corporation] <jfproc><; F:\ppfilm\jfCacheMgr.exe> [浙江浩影网络有限公司] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><EXPLORER.EXE> [(Verified)Microsoft Windows Publisher] <Userinit><userinit.exe,> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] <WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Component Publisher] ================================== 启动文件夹 [珊瑚虫] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\珊瑚虫.lnk --> D:\腾讯QQ~1.0RC\QQ\CoralQQ.exe [珊瑚虫工作室]><N> ================================== 服务 [Adobe LM Service / Adobe LM Service][Stopped/Manual Start] <"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems> [ASP.NET State Service / aspnet_state][Stopped/Manual Start] <C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe><Microsoft Corporation> [Human Interface Device Access / HidServ][Stopped/Disabled] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> [InstallDriver Table Manager / IDriverT][Stopped/Manual Start] <"C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe"><Macrovision Corporation> [NVIDIA Display Driver Service / NVSvc][Running/Auto Start] <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation> [Rising Proxy Service / RfwProxySrv][Stopped/Manual Start] <d:\瑞星防火墙\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.> [Rising Personal Firewall Service / RfwService][Running/Auto Start] <d:\瑞星防火墙\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.> [Rising Process Communication Center / RsCCenter][Running/Auto Start] <"D:\瑞星杀毒\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.> [Rising RealTime Monitor / RsRavMon][Running/Auto Start] <"D:\瑞星杀毒\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.> [STI Simulator / STI Simulator][Running/Auto Start] <C:\WINDOWS\System32\PAStiSvc.exe><N/A> [SYSTEM / SYSTEM][Stopped/Auto Start] <C:\WINDOWS\G_Server1.23><N/A> [Windows Media Connect Service / WMConnectCDS][Stopped/Manual Start] <C:\Program Files\Windows Media Connect 2\wmccds.exe><Microsoft Corporation>
天空dē种子初生襁褓狮帖子:14 注册: 2007-06-25 来自:

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT