我用瑞星也杀不了会鸽子病毒，手动也解决不掉（附日志和扫描结果） bbs.ikaka.com

skywar - 2005-7-15 10:46:00

灰鸽子病毒，我按照前面高手的指点，先下载日志追踪名字和地址，是MULU。DLL，在WINDOWS目录下。我再在安全模式下，运行REDEGIT里将整个GRAYXXX文件夹全部删掉。再去WINDOW目录下找到MULU。DLL删除，最后进行瑞星扫描。以为搞定。结果每次运行瑞星扫描都会再次发现，而且变多了。愚不才，有以下几个问题希望能得到高手指点，多谢了
1.瑞星杀毒是不是正常查毒按钮打开就可以了，为什么在病毒状态上会有发现病毒和忽劣两种词样而没有杀掉病毒？各自代表什么意思？
2.为什么在WINDOWS目录下没有找到三个或更多的毒，按照高手说法，应该是MULU.DLL，MULU.EXE，MULUXXXX.DLL，而我只找到第一个。是不是没有杀干净。
3.再次用日志，在023项并没有发现那个GARYXXXX字样，是不是杀掉了？

附件: 5394862005715104651.jpg

skywar - 2005-7-15 10:47:00

最新日志

附件: 5394862005715104730.jpg

skywar - 2005-7-15 11:02:00

UP一下在线等。。急

baohe - 2005-7-15 11:16:00

【回复“skywar”的帖子】你的系统还原文件夹中有毒。请关闭系统还原，到安全模式下清空这个文件夹。

★蓝色羽毛★ - 2005-7-15 11:16:00

请把日志贴全,你还中了恶鹰病毒

skywar - 2005-7-15 11:35:00

好，请指点，谢谢了

附件: 5394862005715113507.jpg

skywar - 2005-7-15 11:35:00

上下部分日志都在这了

附件: 5394862005715113556.jpg

skywar - 2005-7-15 11:41:00

Logfile of HijackThis v1.99.1
Scan saved at 11:40:57, on 2005-7-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder\OrderReminder.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Program Files\Kingsoft\Powerword 2003\XDICT.EXE
E:\Tool\FlashGet\flashget.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rav\RAVMON.EXE
E:\Tool\winrar3.50\WinRAR.exe
C:\DOCUME~1\anyjo\LOCALS~1\Temp\Rar$EX00.563\HijackThis.exe

★蓝色羽毛★ - 2005-7-15 11:45:00

C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\1XConfig.exe
很可疑

skywar - 2005-7-15 11:50:00

请问楼上的，怎么处理呢？请详细点指点，谢谢

skywar - 2005-7-15 12:15:00

Up一下。。谢谢帮忙

skywar - 2005-7-15 12:40:00

晕了。。怎么没人帮忙了啊。

★蓝色羽毛★ - 2005-7-15 13:03:00

请把这两个文件打包放上来

skywar - 2005-7-15 13:29:00

打包好了，请帮忙看下

附件: 5394862005715132941.rar

★蓝色羽毛★ - 2005-7-15 13:37:00

没有病毒

skywar - 2005-7-15 14:00:00

多谢楼上的。。。

jijip - 2005-7-15 15:00:00

log好象是正常的！
安全模式下
请清空下面2个文件夹所有内容
C:\Documents and Settings\anyjo\Local Settings\Temp
C:\Documents and Settings\anyjo\Local Settings\Temporary Internet Files

skywar - 2005-7-15 15:13:00

谢谢楼上的，我清除了，已经没病毒了。多谢你们的帮忙

俞加 - 2005-7-15 15:41:00

灰鸽子手工清除：
1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入纯DOS状态删除，删除命令如下：
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe
还要注意，如果灰鸽子服务端设置了exe 文件关联的话，将会导致注册表编辑器无法运行，所以在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命令如下：
ren c:\windows\regedit.exe regedit.com

2.删除注册表中启动键
由于我们改了注册表编辑器名称，所以要打开注册表编辑器应为：打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后，依次打开“HKEY—LOCAL—MACHINE\Software\Microsoft\windows\Current Version\Run"，在右边的窗口中删除名称为”Loadwindows"的键值就可以了。

清除文件关联
灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在。

1.解除exe关联：
启动注册表编辑器，然后找到HKEY—CLASSES—ROOT\Exefile\shell\Open\Cpmmand主键，查看起默认的键值是不是系统默认的“%1%*”，如果被修改，则改成默认值.
2.解除txt关联：
打开注册表的HKEY—CLASSES—ROOT\txtfile\shell\open\command主键，其默认值的正常参数应该为“C：\windows\notepad.exe%1",如果不是，请修改为正确数据。
3.解除ini关联：
INI文件的的关联配置保存在注册表HKEY—CLASSES—ROOT\Inffile\shell\Open\Cpmmand主键下，其默值数据也是“C：\windows\notepad.exe%1”，如果被修改的话，也要改回来。
4解除inf关联：
打开注册表的HKEY—CLASSES—ROOT\Inffile\shell\Open\Cpmmand主键，和ini,txt文件关联一样，其默认值也是“C：\windows\notepad.exe%1”，如果被修改，也要立刻改回正确的数据。

至此，灰鸽子已经被你彻底扫地出门了

俞加 - 2005-7-15 15:44:00

灰鸽子2005的手工查杀方法总结如下，供朋友们参考。
灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件；病毒文件名可变，但有一定规律。目前为止，我见过的病毒文件均在%WinDir%下；病毒文件名可以是以下三组之一：
1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll
2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll
3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll
病毒文件名的命名规律是：X.exe，X.dll，X_Hook.dll，其中“X”指文件名的变化部分。在WINDOWS模式下，三个病毒文件均为隐藏文件。在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后，在安全模式下才能看到病毒文件。

----------------------------------------------------------
通过察看日至文件，确定病毒服务名称，确定并记下病毒服务名称后，即可重启系统至安全模式，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM\ CURRENT CONTROLSET\ SERVICES \ 病毒服务名称（如：“GrayPigeonServer”），将其删除。

-----------------------------------------------------
在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。重启系统，手工杀毒即告完成。

瑞星卡卡安全论坛