请问下各位 bbs.ikaka.com

317470876 - 2009-1-29 18:01:00

Backdoor.Win32.Gpigeon2008.ajy
这是什么病毒？我用瑞星杀不了．删除文件失败？？郁闷了？那个师傅帮我下，感激了！！
请问什么工具能杀掉？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; TencentTraveler 4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

天月来了 - 2009-1-29 18:04:00

详细病毒文件名和路径

317470876 - 2009-1-29 18:47:00

网络还总掉线.一会掉了.一会好了.我怀疑是病毒作怪!救命啊!

天月来了 - 2009-1-29 18:51:00

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

317470876 - 2009-1-29 19:07:00

版主-你就是我的救命恩人!

附件: SREngLOG.log

taylor05771 - 2009-1-29 19:15:00

<mdeilvy><C:\Program Files\Common Files\System\ohrnisn.exe> [File is missing]
<{189F087F-4378-405F-85FA-37D955AD7A8C}><> [N/A]
<{841529CB-7F77-4B99-A895-B5441E0D302F}><> [N/A]
<{B490415F-65F8-B5C5-D8BA-9405FB12054B}><> [N/A]
<{461D2AB4-29A5-45C2-9134-D52272D3DE38}><> [N/A]
<{C0595A7E-2E2F-4B34-A83A-019270A0A464}><> [N/A]
<{7A041F13-A111-12A3-B0CF-F99818AA68A7}><> [N/A]
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><> [N/A]
<{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}><> [N/A]

[ieatnh / ieatnh][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\veatth\veatth.dll,Service -s><Microsoft Corporation>
[jldk / jldk][Running/Auto Start]
<C:\WINDOWS\system32\jldk.exe><Beijing Rising Information Technology Co., Ltd.>
[jlqk / jlqk][Running/Auto Start]
<C:\WINDOWS\system32\jlqk.exe><N/A>
[jtqk / jtqk][Running/Auto Start]
<C:\WINDOWS\system32\jtqk.exe><N/A>

[Windows ptfe RunThem / ptfe][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\koaz\uykj.dll><N/A>
[WebSearch / WebSearch][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\service.dll><Home>
[zhengtu / zhengtu][Stopped/Auto Start]
<C:\WINDOWS\zhengtu.exe><Twain Working Group>

[rjrgrh / rjrgrh][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\rjrgrh.sys><N/A>

用sreng 删除上述项目

PS 中毒不浅

天月来了 - 2009-1-29 19:17:00

———————————————————————
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

删除：

C:\WINDOWS\system32\BITSEx.dll
C:\WINDOWS\system32\jldk.exe
C:\WINDOWS\system32\jlqk.exe
C:\WINDOWS\system32\jtqk.exe
C:\PROGRA~1\koaz\uykj.dll
C:\WINDOWS\zhengtu.exe
C:\WINDOWS\System32\drivers\rjrgrh.sys

不论删除结果如何，继续下面操作。
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项，将启动类型改为“Disabled”
==================================
服务
[Background Intelligent Transfer Service / BITS][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\BITSEx.dll><N/A>

[jldk / jldk][Running/Auto Start]
<C:\WINDOWS\system32\jldk.exe><Beijing Rising Information Technology Co., Ltd.>

[jlqk / jlqk][Running/Auto Start]
<C:\WINDOWS\system32\jlqk.exe><N/A>

[jtqk / jtqk][Running/Auto Start]
<C:\WINDOWS\system32\jtqk.exe><N/A>

[Windows ptfe RunThem / ptfe][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\koaz\uykj.dll><N/A>

[zhengtu / zhengtu][Stopped/Auto Start]
<C:\WINDOWS\zhengtu.exe><Twain Working Group>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项，将启动类型改为“Disabled”
==================================
驱动程序
[rjrgrh / rjrgrh][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\rjrgrh.sys><N/A>
——————————————————————————————————————
这项不认识
==================================
驱动程序
[macho Bus / machobus][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\machobus.sys><N/A>
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=479547
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

连网用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

天月来了 - 2009-1-29 19:18:00

C:\WINDOWS\system32\service.dll文件找到压缩后发来看

317470876 - 2009-1-29 19:19:00

??师傅在下不懂,这是些什么??迷糊了!
能说明白点吗?

天月来了 - 2009-1-29 19:20:00

全部是中文汉字

细看

不急

你急也没用，还不如耐心看，耐心做呢

taylor05771 - 2009-1-29 19:22:00

天月要注意那个注册表的残留估计也是木马残留

天月来了 - 2009-1-29 19:26:00

噢

先那么处理看怎样吧

不明程序在进程里是运行着的

还不知道是否具有感染性呢

天月来了 - 2009-1-29 19:27:00

楼主如果愿意的话

尽量用解压工具WinRAR依路径打开，找下面文件压缩发来看才好

C:\WINDOWS\system32\BITSEx.dll
C:\WINDOWS\system32\jldk.exe
C:\WINDOWS\system32\jlqk.exe
C:\WINDOWS\system32\jtqk.exe
C:\PROGRA~1\koaz\uykj.dll
C:\WINDOWS\zhengtu.exe
C:\WINDOWS\System32\drivers\rjrgrh.sys

瑞星卡卡安全论坛