瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

12345678»   3  /  18  页   跳转

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

收藏
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-11-24 22:03 | 显示全部 短消息 资料
字号: 21楼

*2005.11.24 第3版 补充:卡巴斯基关于三个灰鸽子文件的反应:

system.exe 报为 Backdoor.Win32.Hupigon.nz

system.dll、system_dll.dll 报为 Backdoor.Win32.Hupigon.lq
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-11-28 20:26 | 显示全部 短消息 资料
字号: 22楼

【回复“ncqd”的帖子】

你的系统缺少必要的系统补丁和更新

以下修复工作中有关操作方法可参考:
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

重新启动到安全模式

如果使用了系统还原功能, 请先关闭此功能。

停止并禁用服务:Microsoft WebServer

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名
寻找如下文件:

C:\WINDOWS\Microsoft WebServer.exe
C:\WINDOWS\Microsoft WebServer.dll
C:\WINDOWS\Microsoft WebServer_dll.dll
C:\WINDOWS\SYSTEM32\stdup.dll

把找到的文件用压缩软件(如winrar, winzip)打包备份,待全部修复工作完成后,把压缩包作为email附件发到endurer@163.com,请在email中注明此贴的网址


请关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描,在下列建议修复的项目前打上勾,然后点[修复](Fix)(如果你清楚某项是安全的,可以不处理):

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

O23 - NT 服务: Microsoft WebServer - Unknown owner - C:\WINDOWS\Microsoft WebServer.exe

删除文件:
C:\WINDOWS\Microsoft WebServer.exe
C:\WINDOWS\Microsoft WebServer.dll
C:\WINDOWS\Microsoft WebServer_dll.dll
C:\WINDOWS\SYSTEM32\stdup.dll

清空IE临时文件夹

重新启动计算机

如果原先使用了系统还原功能, 现在可以重新启用此功能。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-11-29 23:04 | 显示全部 短消息 资料
字号: 23楼

【回复“剑皓”的帖子】

你的系统缺少必要的系统补丁和更新

以下修复工作中有关操作方法可参考:
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

重新启动到安全模式

如果使用了系统还原功能, 请先关闭此功能。

停止并禁用服务:windows

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名
寻找如下文件:

D:\WINDOWS\windows.exe
D:\WINDOWS\windows..dll
D:\WINDOWS\windows_dll.dll


把找到的文件用压缩软件(如winrar, winzip)打包备份,待全部修复工作完成后,把压缩包作为email附件发到endurer@163.com,请在email中注明此贴的网址


请关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描,在下列建议修复的项目前打上勾,然后点[修复](Fix)(如果你清楚某项是安全的,可以不处理):


R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
F3 - REG:win.ini: load=?矹梈
词矵?逷矵械

???
F3 - REG:win.ini: run=?矹梈
词矵?逷矵械

???

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - D:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - D:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {0C7C23EF-A848-485B-873C-0ED954731014} - (no file)
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - (no file)
O2 - BHO: (no name) - {B3ECCAC9-C7FA-462C-894B-8E9930A70E14} - (no file)

O23 - Service: windows - Unknown owner - D:\WINDOWS\windows.exe

删除文件:
C:\WINDOWS\Microsoft WebServer.exe
C:\WINDOWS\Microsoft WebServer.dll
C:\WINDOWS\Microsoft WebServer_dll.dll
C:\WINDOWS\SYSTEM32\stdup.dll

删除文件夹:
D:\Program Files\MyWay

清空IE临时文件夹

重新启动计算机

如果原先使用了系统还原功能, 现在可以重新启用此功能。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-12-01 22:11 | 显示全部 短消息 资料
字号: 24楼

引用:
【ncqd的贴子】【回复“endurer”的帖子】
endurer 版主 谢谢您
 我按照您的提示做了,但我只找到了文件C:\WINDOWS\Microsoft WebServer.exe和C:\WINDOWS\SYSTEM32\stdup.dll
还有 在扫描时也没找到O23 - NT 服务: Microsoft WebServer - Unknown owner - C:\WINDOWS\Microsoft WebServer.exe
这是今天的扫描日志,再请您帮我看一下,说说具体情况吧,谢谢了!!!


新的LOG中确实没有

O23 - NT 服务: Microsoft WebServer - Unknown owner - C:\WINDOWS\Microsoft WebServer.exe

了,你已经把这项服务停止并禁用了罢?

其他文件没有找到,可能是因为你遇到的灰鸽子的其他文件用了其他的文件名,请检查是否有以Microsoft WebServer开头的文件,也可以按文件最后修改时间来查找看看。


新的LOG中

C:\WINDOWS\TEMP\remotesetup.exe

这个进程对应的文件还在吗?


O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

这一项还没有修复成功...

请参考魔法学徒版主的贴再处理一下:
【讨论】关于stdup.dll反复出现、无法删除的解决办法
http://forum.ikaka.com/topic.asp?board=67&artid=7423269


下面这个启动项也请检查一下:

O4 - Global Startup: VIP.lnk = ?SystemRoot%\Installer\{37C629F7-E196-4AE4-9547-30BA6E99AAEF}\_49442e40.exe
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-12-01 22:16 | 显示全部 短消息 资料
字号: 25楼

【回复“xxx_01”的帖子】

影子110 朋友已经在第108楼为你指出了灰鸽子的系统服务启动项,你可以参考顶楼的贴子进行处理。

另外,你的Windows XP系统是新装的吗?缺少很多必要的系统补丁, 请尽快打上。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-12-01 22:25 | 显示全部 短消息 资料
字号: 26楼

【回复“我很郁闷哦哦”的帖子】

》》瑞星每天都一要报一次Backdoor.GPigeon  这个病毒`杀不干净呀??

请把瑞星的杀毒日志导出贴上来,方便大家分析。

LOG中没有发现灰鸽子的启动项。


下面这项比较可疑, 请检查看看:

O4 - 启动项HKLM\\Run: [zcom] \zPlatform.exe MIN

另外,你可以参考baohe版主的贴:

一只HijackThis看不见的灰鸽子
http://forum.ikaka.com/topic.asp?board=28&artid=7483512

处理看看。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-12-02 12:21 | 显示全部 短消息 资料
字号: 27楼

【回复“我很郁闷哦哦”的帖子】

下面的操作的做法请参考顶楼贴子里的相关链接。

请重新启动电脑到安全模式下

关闭系统还原功能

清空IE临时文件夹

再使用瑞星全面扫描系统

设置系统显示所有文件和文件夹,不隐藏已知类型文件的扩展名

运行winrar

把下面这个路径:

C:\DOCUME~1\ADMINI~1\LOCALS~1

复制/粘贴到WinRAR的地址栏,按下Enter键。

把里面的所有扩展名为.tmp的文件全部删除。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-12-04 23:26 | 显示全部 短消息 资料
字号: 28楼

【回复“ncqd”的帖子】
》》就是已经停止并禁用了这项服务,我是按您上次的提示做的,有什么问题吗?

这是清除病毒的步骤之一,没有问题。


新的LOG中没有明显的问题。

请找到

C:\WINDOWS\TEMP\remotesetup.exe


%SystemRoot%\Installer\{37C629F7-E196-4AE4-9547-30BA6E99AAEF}\_49442e40.exe

把这两个文件发到endurer@163.com好吗?
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-12-04 23:30 | 显示全部 短消息 资料
字号: 29楼

【回复“天涯飘风”的帖子】

LOG中没有发现灰鸽子的启动项。

请把杀毒软件的杀毒日志导出贴上来,方便大家分析。

关于:

O2 - BHO: (no name) - {0C7C23EF-A848-485B-873C-0ED954731014} - (no file)

请在安全模式下,关闭所有浏览器和文件夹窗口,再用HijackThis修复。

关于防火墙规则的问题,安全软件版的版主taylor05771是这方面的专家,建议你向他请教。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-12-04 23:36 | 显示全部 短消息 资料
字号: 30楼

【回复“奋起反击”的帖子】

请参考:

【系统修复系列之】如何 显示所有的文件和文件夹
http://endurer.bokee.com/2590659.html

处理看看。
gototop
 
<<上一主题|下一主题>>
12345678»   3  /  18  页   跳转
页面顶部
Powered by Discuz!NT