想请教高手点问题:
朋友的电脑最近盘符出现auto,双击打不开。
发现中了Backdoor.Win32.Gpigeon.zfj(感染到我的U盘上到我的电脑里发现的)
应该是个木马!杀软是07瑞星19.44.xx(具体忘了)查不到!
用手动杀
用HijackThis1.99.1扫系统日志,根据日志提示的灰鸽子启动加载项和灰鸽子文件所在位置,进行手工杀毒。
这套方法在我的机器上好用,但是他的机器却不好使!每次删除了注册表项一刷新或是重启后都会出现!搞不懂!
是不是他的FAT32格式的关系(支持DOS)?
请高手帮帮忙!如何手动杀!
下面是他的日志:HijackThis_815汉化版扫描日志 V1.99.1
保存于 14:25:11, 日期 2007-10-31
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Unable to get Internet Explorer version!
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\KVFW\KVwsc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mmc.exe
C:\program files\internet explorer\IEXPLORE.EXE就是伪装成这个服务进程,关闭后又出来!C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Starsoftcomm\StarCenter\alert.exe
C:\Program Files\Starsoftcomm\StarCenter\StarCenter.exe
C:\Program Files\Rising\AntiSpyware\runiep.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\KVFW\kvfw.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.375\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [Alert] C:\Program Files\Starsoftcomm\StarCenter\alert.exe
O4 - 启动项HKLM\\Run: [StarCenter] C:\Program Files\Starsoftcomm\StarCenter\StarCenter.exe
O4 - 启动项HKLM\\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [KVFW] C:\Program Files\KVFW\kvfw.exe -silent
O17 - HKLM\System\CCS\Services\Tcpip\..\{44C8D914-B0B2-4805-9A1E-B0D6A0BFF972}: NameServer = 202.96.64.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{44C8D914-B0B2-4805-9A1E-B0D6A0BFF972}: NameServer = 202.96.64.68
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: KVWSC - Jiangmin Co - C:\Program Files\KVFW\KVwsc.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - NT 服务: svohost.exe - Unknown owner - C:\WINDOWS\svchcst.exe在注册表中
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到了svohost.exe项,就是删了刷新或是重启后又出现最后附个该木马包,小心带有AutoRun.inf文件![用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
