瑞星卡卡安全论坛

出现一个 services.exe  的用户进程    关不掉 
  而且所有的杀毒程序都打不开  不知道该怎么办了

附件: 5652062005113224532.JPG

文件路径是什么?

那是系统进程。当然无法关闭。
当然木马也可能插在里面。
必须拿工具才能分辨出来。
你还是先扫一个LOG发上来吧。

文件路径: c:\windows\system32\services.exe (用户进程)

c:\windows\system32\services.exe

这个路径正常

应该就是这个里面有病毒 
在安全模式下这个用户进程关不掉
所有的杀毒程序都开不了

这是用HijackThis在安全模式下扫描的结果:

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\Documents and Settings\xinxin\桌面\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F57} - C:\WINDOWS\system32\ThunderBHO_v07.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\b.bin\MWSSRCAS.DLL
O3 - IE工具栏增项: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)
O3 - IE工具栏增项: 新浪点点通 - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - D:\PROGRA~1\sina\UC\UCddt\DDTONG~1.DLL
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\Program Files\Kingsoft\FastAIT 2006\IEBand.dll
O3 - IE工具栏增项: Infofo 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O3 - IE工具栏增项: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\b.bin\MWSBAR.DLL
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - 启动项HKLM\\Run: [nwiz] ; nwiz.exe /install
O4 - 启动项HKLM\\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\services.exe
O4 - 启动项HKLM\\RunServices: [Torjan Program] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O20 - AppInit_DLLs: APIHookDll.dll
O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
  病毒杀不掉

F2 - REG:system.ini: Shell=Explorer.exe 1
O3 - IE工具栏增项: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\b.bin\MWSBAR.DLL
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\services.exe
O4 - 启动项HKLM\\RunServices: [Torjan Program] C:\WINDOWS\services.exe
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe

用HijackThis把以上各项修复，在对应文件夹中删掉文件（如果无法删除，进入安全模式操作）

在注册表编辑器里删除这几项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gray_Pigeon_Server2.0 (GrayPigeonServer2.0)

删除
C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0key.exe
C:\WINDOWS\G_Server2.0_hook.dll

用hijackthis修复过了
注册表和windous文件夹下已经删除与G_server相关的文件
还是杀不干净

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\wuauclt.exe
F2 - REG:system.ini: Shell=Explorer.exe 1
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - 启动项HKLM\\Run: [nwiz] ; nwiz.exe /install
O4 - 启动项HKLM\\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\services.exe
O4 - 启动项HKLM\\RunServices: [Torjan Program] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] ; "C:\Program Files\Messenger\msmsgs.exe" /background
O20 - AppInit_DLLs: APIHookDll.dll
O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe

【回复“thomas199900”的帖子】
C:\WINDOWS\services.exe
这是个木马。请将这个文件用WINRAR或WINZIP打包，发到:baohelin@yahoo.com.cn。帮你解决它。
F2 - REG:system.ini: Shell=Explorer.exe 1——这个，仅用HIJACKTHIS修复没用，这是木马自己添加的。以前遇到过一个木马样本，有注册表监控能力，你删这项，它立即再加上。

对,就是 C:\WINDOWS\services.exe  这个文件
注册表和windous文件夹下已经删除与server相关的文件
还是控制不了它的自动生成

先删除木马文件和相关服务，然后修复注册表 把Explorer.exe 1改成Explorer.exe

哎~~又是Torjan Program~~BT木马

附件: 246022200511585235.jpg

正如版主所说  木马有注册表监测功能  还是被自动改回来了

看看这个
http://forum.ikaka.com/topic.asp?board=28&artid=7318038
有没有帮助

进程是次要的 主要是services.exe 被袭击了 如何恢复的问题