瑞星卡卡安全论坛

中了病毒名为:backdoor.gpigeon病毒,路径是c:\windows\system32,文件名为:wininet32.dll,每次开机瑞星都会提示发现病毒,删除成功,怎么才能把它彻底杀了,我在安全模式下删除wininet32.dll也删不掉,显示写保护或正在使用,用了网上说的方法找不到相关文件,下了一个叫DelHgzvip2005Server.exe的程序,说能直接杀,可是又说没有检测到 灰鸽子 Vip 2005 服务端,我该怎么杀死这个病毒,急,明天要报自考,非用银行卡网上报名不可.

扫描报告传上来看看

【回复“dh9876”的帖子】
你中的不是“灰鸽子2005”，当然不能用那个“检测器”搞定。扫HijackThis1.99.1日志贴上来吧。

是这个东西吗????


HijackThis_zww汉化版扫描日志 V1.99.1
保存于      16:55:05, 日期 2005-8-15
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\工具软件\杀毒类\RISING\RAV\Ravmond.exe
D:\工具软件\杀毒类\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
D:\工具软件\杀毒类\RISING\RAV\RAVTIMER.EXE
D:\工具软件\杀毒类\RISING\RAV\RAVMON.EXE
C:\Program Files\iparmor\Iparmor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\工具软件\杀毒类\RISING\RAV\CCENTER.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\游戏\Woool\woool1.dat
D:\游戏\Woool\data\woool.dat
C:\WINDOWS\explorer.exe
D:\东西下在这\2535952005811174944\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v6.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\游戏\qq\QQIEHelper.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [RavTimer] D:\工具软件\杀毒类\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\工具软件\杀毒类\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [iparmor] C:\Program Files\iparmor\Iparmor.exe mini
O4 - 启动项HKLM\\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] ; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: scanregw.exe
O4 - User Startup: scanregw.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\工具软件\下载类\迅雷\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\工具软件\下载类\迅雷\getAllurl.htm
O8 - IE右键菜单中的新增项目: &使用迷你迅雷下载 - D:\工具软件\下载类\迷你迅雷\geturl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\游戏\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\游戏\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\游戏\qq\SendMMS.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\游戏\qq\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\游戏\qq\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\游戏\qq\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\游戏\qq\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DDCECC9-C483-48EA-8D4A-02281AF5DC03}: NameServer = 202.102.200.101 202.102.192.68
O20 - AppInit_DLLs: apihookdll.dll
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\工具软件\杀毒类\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\工具软件\杀毒类\RISING\RAV\Ravmond.exe

不知道你着不着急，这个病毒我也研究了1个小时，刚刚有点收货

隐藏得也还可以，我看它确实是一个灰鸽子病毒，但是捆绑在其他的外壳上。又结合（广外幽灵）的做法。

NT的系统不会看呀~~~

但是，杀掉的病毒却是trojan.psw.lmir.hyv,你看看杀毒历史记录，是不是？

很奇怪，但是病毒源我刚刚找到了，在windows目录下的，有一个隐藏的目录：\html，里面有一个文件：scanregw.exe，显示出来的是一个文本文件，但是是病毒。这个文件正常情况是注册表扫描文件，这样你看你的HijackThis_zww扫描日志：O4 - Startup: scanregw.exe；O4 - User Startup: scanregw.exe，这两个里面有一个是有问题的。

很奇怪，但是病毒源我刚刚找到了，在windows目录下的，有一个隐藏的目录：\html，里面有一个文件：scanregw.exe，显示出来的是一个文本文件，但是是病毒。这个文件正常情况是注册表扫描文件，这样你看你的HijackThis_zww扫描日志：O4 - Startup: scanregw.exe；O4 - User Startup: scanregw.exe，这两个里面有一个是有问题的。

我试过，在安全模式下（我的系统是2000），这个病毒并不发作，而且在注册表里面也有这个病毒相应的键值。我还没有试在安全模式下能不能把\windows\html\scanregw.exe，这个病毒文件删掉。但是在正常系统下，不能删。但是病毒产生的文件：那个windows\system32\winnet32.dll，可以被杀掉。它还会在winwdows目录下产生另一个文件：mag_hook.dll。

不好意思，写错了，是在\windows\system32\mag_hoot.dll，这个也是病毒产生的文件

不好意思，写错了，是在\windows\system32\mag_hook.dll，这个也是病毒产生的文件

顶

附件: 5593732005815173515.jpg

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU，这个分支就是病毒在注册表里的写的东西

唉，一切都隐藏在正常外壳下的卑鄙：
里面写了三行：
000    REG_SZ    _HOOK.DLL
001    REG_SZ    SCANREGW.EXE
002    REG_SZ    WININET32.DLL

我的水平不高，只能写出这些东西了，至于到底怎么杀掉。。。我还没有杀。不过告诉你好消息，我刚才看了瑞星的病毒特征，上面写了trojan.psw.lmir.hyv，会在17.40.02里面可以杀除。估计看来瑞星也找到了，我的判断是错的，不是灰鸽子病毒。晕，这个版本要明天出啊！

开玩笑的，快升级吧，瑞星今天还能升一次，可以杀这个病毒了

晕死我也中了那东西` 不知道怎么搞啊` 每次杀都说 清除成功 但是 重起了后又有` 这个 怎么搞啊` 我是菜鸟`` 受伤死了 想用 系统还原 也不行 `` 哎 ``谁来救救我``

我已经看糊涂了,晕

我试过了，瑞星可以每次启动的时候杀掉发作的病毒，但是不能认出那个病毒源文件（WINDOWS\HTML\SCANREGW.EXE),也不能把注册表清除干净。
我家里的电脑没有中，我看不出来，这样，你先把HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{这里面内容不一定}\FilesNamedMRU，里面的
000 REG_SZ _HOOK.DLL
001 REG_SZ SCANREGW.EXE
002 REG_SZ WININET32.DLL
删除，然后重起电脑，如果没有病毒跳出，再删除WINDOWS\HTML\SCANREGW.EXE,和这个目录。应该可以。

哎 ` 搞不定啊`  你们是怎么中那毒的啊`  我是在BT上下游戏搞的  受伤的 游戏没下下来` 下了一窝子 病毒``