小忧 - 2005-10-23 12:44:00
小弟20日那天中了鸽子.己经清理干净了.不知道为什么今天电脑一杀毒又发现了Backdoor.GPigeon.svg这个病毒.小弟请各位高手们再帮小弟看一下看是不是完全清干净了啊!!
小忧 - 2005-10-23 12:49:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 12:46:46, 日期 2005-10-23
操作系统: Windows XP SP1 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Avant Browser\abrowser.exe
C:\Program Files\ACAD2000\acad.exe
c:\mgx\system\mgxserver.exe
F:\HijackThis1991zww.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v1.dll
O2 - BHO: (no name) - {0E7505F8-8F30-41E0-9D1E-D9DEABD36D38} - (no file)
O2 - BHO: (no name) - {82925498-364E-4419-B3BF-CD12FC7A8815} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\Kingsoft\FASTAI~1\IEBand.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: 脱兔下载 - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: &TuoTu - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127005631796
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{563FBE75-4B63-4487-AF78-CC572E735D99}: NameServer = 218.85.157.99 202.101.107.55
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
唐不狐 - 2005-10-23 12:55:00
病毒反复发作原因:
治病不植治根,估计楼主集子不是2000,就是xpsp1的,没打全补丁,所以容易中马。
目前网页木马到处都是,楼主中招的机会就大了。
所以还是请打全 ie的补丁吧
唐不狐 - 2005-10-23 13:04:00
在我意料中,升级到sp2吧
命运里の金色 - 2005-10-23 13:22:00
| 引用: |
【小忧的贴子】小弟20日那天中了鸽子.己经清理干净了.不知道为什么今天电脑一杀毒又发现了Backdoor.GPigeon.svg这个病毒.小弟请各位高手们再帮小弟看一下看是不是完全清干净了啊!!
........................... |
请把这次报的病毒路径以及文件说下,我怀疑在还原信息里
命运里の金色 - 2005-10-23 13:31:00
【回复“小忧”的帖子】我要的是今天杀毒软件报的,不是你20日那天的
天天泡泡 - 2005-10-23 13:38:00
既然知道是c:\windows\system.exe,那么请将这个文件加密压缩后发至fangrensong@yahoo.com.cn。
c:\mgx\system\mgxserver.exe
你这个是什么?
命运里の金色 - 2005-10-23 13:39:00
那就有点意思了
c:\windows\system.exe,找到这个文件,用winrar打包,发到virusdied@yahoo.com.cn
竟然在023项里没看到到鸽子的服务
你是不是自己已经手工删除过鸽子了?
小忧 - 2005-10-23 13:54:00
真晕找不到system.exe这个文件了.会不会被杀掉了啊.
这个是今天杀毒的日志
病毒名称 处理结果 扫描方式 路径文件 病毒来源
Blaster Rpc Exploit 清除成功 实时监控 222.79.255.198:53264
Blaster Rpc Exploit 清除成功 实时监控 222.79.151.182:28934
Blaster Rpc Exploit 清除成功 实时监控 222.79.216.7:60175
Blaster Rpc Exploit 清除成功 实时监控 222.79.216.7:49157
Blaster Rpc Exploit 清除成功 实时监控 222.79.217.91:2322
Blaster Rpc Exploit 清除成功 实时监控 222.79.161.36:272
Blaster Rpc Exploit 清除成功 实时监控 222.79.214.216:43281
Blaster Rpc Exploit 清除成功 实时监控 222.79.174.165:44815
Blaster Rpc Exploit 清除成功 实时监控 222.79.212.203:14345
Blaster Rpc Exploit 清除成功 实时监控 222.79.212.48:53252
Blaster Rpc Exploit 清除成功 实时监控 222.79.161.36:15374
Backdoor.GPigeon.svg 删除成功 手动扫描 C:\WINDOWS System.exe本机
Blaster Rpc Exploit 清除成功 实时监控 222.77.63.58:13572
Blaster Rpc Exploit 清除成功 实时监控 222.77.29.67:52747
Blaster Rpc Exploit 清除成功 实时监控 222.79.208.175:45063
命运里の金色 - 2005-10-23 14:02:00
System.exe是不是你上次手工删除时,没删除这个文件?
七彩黄花菜萱草 - 2005-10-23 17:39:00
既然如此,就试试:
断网,清空IE临时文件夹,禁用系统还原,用最新版本杀软杀毒,必要时在安全模式或DOS下全面查杀.
小忧 - 2005-10-24 17:19:00
鸽子没了.可是
F2 - REG:system.ini: UserInit=userinit.exe,这个是什么.
命运里の金色 - 2005-10-24 17:45:00
| 引用: |
【小忧的贴子】鸽子没了.可是
F2 - REG:system.ini: UserInit=userinit.exe,这个是什么.
........................... |
可以修复,不过问题不大
© 2000 - 2026 Rising Corp. Ltd.
