瑞星卡卡安全论坛
冰雨№ - 2005-8-20 18:41:00
近来只要我一运行一个叫“Kawaks 1.45 最终中文典藏版”的街机模拟器。瑞星就提示我中了一个叫Backdoor.GPigeon.sgr的病毒,然后扫描系统发现内存中有40多个病毒,原来是灰鸽子O23 - Service: IE_Server (Internet_Server) - Unknown owner - C:\WINDOWS\IEXPL0RE.EXE
我按照各位大虾的做法找到了注册表里的服务器,然后删掉了,可是我进入安全模式为什么照不到这个病毒的其他组件?如:X.exe,X.dll,X_Hook.dll??
为什么“Kawaks 1.45 最终中文典藏版”的街机模拟器一运行就会这样啊??
为什么我杀不尽这个病毒???
请大虾释疑!!
现在进行时 - 2005-8-20 18:47:00
我真服了,这还问啊,当然是这个街机模拟器里有鸽子啊,
这些X.exe,X.dll,X_Hook.dll全是隐藏文件.
冰雨№ - 2005-8-20 18:51:00
我知道是隐藏文件,我已经勾选显示所有文件和系统文件,可是还是找不到X.exe,X.dll,X_Hook.dll,为什么用瑞星扫描这个模拟器却没有病毒啊??
冰雨№ - 2005-8-20 18:56:00
大虾还在吗???
冰雨№ - 2005-8-20 19:00:00
X.exe,X.dll,X_Hook.dll为什么找不到啊???
什么情况 - 2005-8-20 19:30:00
应该是在c:\windows下面,先是所有文件和系统文件,要还是找不到扫个log上来看看
楓♂嘢偉∮颵 - 2005-8-20 19:34:00
建议上置顶的看看``里面有专门对付灰鸽子的策略
冰雨№ - 2005-8-20 19:41:00
log??怎么说??
冰雨№ - 2005-8-20 20:00:00
log??怎么说??怎么弄啊?
什么情况 - 2005-8-20 20:05:00
.......
log=日志....
冰雨№ - 2005-8-20 20:38:00
Logfile of HijackThis v1.99.1
Scan saved at 7:50:31, on 2005-8-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\VM_STI.EXE
D:\PROGRA~1\RISING\RAV\RAVMON.EXE
D:\Program Files\Maxthon\Thundermini\ThunderMini.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAM FILES\RISING\RAV\RavStub.exe
D:\Program Files\BitComet\BitComet.exe
D:\Program Files\Tencent\qq\QQ.exe
d:\Program Files\Tencent\qq\TIMPlatform.exe
D:\Program Files\Tencent\qq\QQ.exe
D:\Program Files\Maxthon\Maxthon.exe
D:\Program Files\foobar2000\foobar2000.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll
O2 - BHO: ltmenu Class - {78C21EFD-53BA-406C-AF1A-33A38ABD3958} - C:\Program Files\LtUcx\1002\c0.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Infofo 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 东方快车 - {3EA85E14-887D-4E2F-91E2-3158CE58ED62} - D:\Program Files\!Sunv\DFKC2003\IEBand.dll
O3 - Toolbar: Infofo 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [thunder_mini] D:\Program Files\Maxthon\Thundermini\ThunderMini.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Desktop Wizard V2.1] D:\Program Files\Desktop Wizard V2.1\dw.exe monitor
O4 - Global Startup: 桌面传媒.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &使用迷你迅雷下载 - D:\Program Files\Maxthon\Thundermini\geturl.htm
O8 - Extra context menu item: 东方快车-保存翻译后的网页 - D:\Program Files\!Sunv\DFKC2003\ExtSave.htm
O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 火狐Flash保存 - d:\Program Files\FoxFlashplayer\PlugIns\GetFlash.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\Program Files\浩方对战平台\GameClient.exe
O9 - Extra button: 东方快车 - {0B66EBA4-5F53-40e4-B17B-A0E9BC1E8D50} - D:\Program Files\!Sunv\DFKC2003\IEBand.dll
O9 - Extra button: 视频聊天 - {6924091F-CD97-41E1-B1D4-D9079409D413} - http://www.liantang.net (file missing)
O9 - Extra 'Tools' menuitem: 视频聊天 - {6924091F-CD97-41E1-B1D4-D9079409D413} - http://www.liantang.net (file missing)
O9 - Extra button: 寻论网--中学作业解答 - {6924091F-CD97-41E1-B1D4-D9079409D423} - http://www.xunlun.com (file missing)
O9 - Extra 'Tools' menuitem: 中学作业 - {6924091F-CD97-41E1-B1D4-D9079409D423} - http://www.xunlun.com (file missing)
O9 - Extra button: Infofo 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - Extra 'Tools' menuitem: Infofo 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {0400AC1C-EEF0-4638-A501-31D5A0DC2002} (VTPlug3 Class) - http://202.101.62.195:1995/VTrans.cab
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://vod.58028.net/plugin/PowerPlr.ocx
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://202.101.62.195:1995/talk.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51888CFC-1FF7-4C14-A170-C49474F0163E}: NameServer = 221.228.255.1 218.2.135.1
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IE_Server (Internet_Server) - Unknown owner - C:\WINDOWS\IEXPL0RE.EXE
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
冰雨№ - 2005-8-20 20:56:00
没有人在吗??
我汗菜 - 2005-8-20 21:09:00
同病同病 我路过正在找怎么解决~~汗~~!!
cher - 2005-8-20 21:13:00
这就是病毒的服务项:
O23 - Service: IE_Server (Internet_Server) - Unknown owner - C:\WINDOWS\IEXPL0RE.EXE
具体方法请参考baohe斑竹的帖。
什么情况 - 2005-8-20 21:15:00
O23 - Service: IE_Server (Internet_Server) - Unknown owner - C:\WINDOWS\IEXPL0RE.EXE
灰鸽子
天天泡泡 - 2005-8-20 21:16:00
| 引用: |
【冰雨№的贴子】近来只要我一运行一个叫“Kawaks 1.45 最终中文典藏版”的街机模拟器。瑞星就提示我中了一个叫Backdoor.GPigeon.sgr的病毒,然后扫描系统发现内存中有40多个病毒,原来是灰鸽子O23 - Service: IE_Server (Internet_Server) - Unknown owner - C:\WINDOWS\IEXPL0RE.EXE
我按照各位大虾的做法找到了注册表里的服务器,然后删掉了,可是我进入安全模式为什么照不到这个病毒的其他组件?如:X.exe,X.dll,X_Hook.dll??
为什么“Kawaks 1.45 最终中文典藏版”的街机模拟器一运行就会这样啊??
为什么我杀不尽这个病毒???
请大虾释疑!!
........................... |
X.exe,X.dll,X_Hook.dll在你这里指的就是
IEXPL0RE.EXE、IEXPL0RE.dll、IEXPL0RE_Hook.dll
冰雨№ - 2005-8-20 21:26:00
IEXPL0RE.EXE、IEXPL0RE.dll、IEXPL0RE_Hook.dll
这几个文件我就是找不到啊??
怎么回事情啊??只找到了IEXPL0RE.EXE(在注册表里)
命运里の金色 - 2005-8-20 21:32:00
郁闷,整个暑假这个灰鸽子不断,看的都无聊死了
1.开始-运行输入regedit,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名IE_Server
2.重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名C:\WINDOWS\IEXPL0RE.EXE,C:\WINDOWS\IEXPL0RE.dll,C:\WINDOWS\IEXPL0RE_Hook.dll,C:\WINDOWS\IEXPL0REkey.dll能找到的都删除
什么情况 - 2005-8-20 21:33:00
应该在c:\windows里,在安全模式下找
冰雨№ - 2005-8-20 21:48:00
我都按以上方法做的啊
就是找不到C:\WINDOWS\IEXPL0RE.EXE,C:\WINDOWS\IEXPL0RE.dll,C:\WINDOWS\IEXPL0RE_Hook.dll,C:\WINDOWS\IEXPL0REkey.dll
我再试试吧
谢谢大虾!!!
冰雨№ - 2005-8-20 21:57:00
在注册表里是删除那个文件啊??是IEXPL0RE.EXE还是IE_Server ???
冰雨№ - 2005-8-20 22:02:00
????
在线等!!
天天泡泡 - 2005-8-20 22:07:00
你再用IceSword的看一次,没有就已经删掉了。
IceSword可以去我的网络E盘下载。
冰雨№ - 2005-8-20 22:09:00
在注册表里是删除那个文件啊??是IEXPL0RE.EXE还是IE_Server ???
bobo无极限 - 2005-8-20 22:10:00
这么麻烦
什么情况 - 2005-8-20 22:13:00
删除的是IE_Server 这项,是左边的那一栏的
命运里の金色 - 2005-8-20 22:16:00
| 引用: |
【什么情况的贴子】删除的是IE_Server 这项,是左边的那一栏的
........................... |
1234567111 - 2005-8-20 22:24:00
1
© 2000 - 2026 Rising Corp. Ltd.