瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 山寨熊猫无法清除,cool_game(sreng2扫描结果已附件形式上传)(文件提取完成上传到1楼)
烟酒如梦 - 2009-2-9 14:33:00
山寨熊猫无法清除,cool_game


谁能帮我啊?

瑞星给屏蔽了。。。

从新安装也无法安装。。。。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; TheWorld)

附件: 文件提取工具.rar
aaccbbdd - 2009-2-9 14:34:00
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。)
烟酒如梦 - 2009-2-9 14:49:00
清空
烟酒如梦 - 2009-2-9 14:49:00
清空!
烟酒如梦 - 2009-2-9 14:49:00
清空
烟酒如梦 - 2009-2-9 14:49:00
不好意思。日志文件已经上传
天月来了 - 2009-2-9 14:54:00
下载文件提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取:
C:\Autorun.inf
C:\   .exe
D:\Autorun.inf
D:\   .exe
E:\Autorun.inf
E:\   .exe
F:\Autorun.inf
F:\   .exe
C:\WINNT\system32\drivers\TXPlatform.exe
C:\WINNT\RichDll.dll
C:\WINNT\system32\Netos.exe
C:\WINNT\uninstall\rundl132.exe
C:\WINNT\system32\ctfmon.exe

然后压缩发来看看
aaccbbdd - 2009-2-9 15:10:00
日志能不能以附件发上来:default2:
(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。)
烟酒如梦 - 2009-2-9 15:11:00
日志文件

附件: 10.txt
天月来了 - 2009-2-9 15:13:00
下载文件提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取:
C:\Autorun.inf
C:\   .exe
D:\Autorun.inf
D:\   .exe
E:\Autorun.inf
E:\   .exe
F:\Autorun.inf
F:\   .exe
C:\WINNT\system32\drivers\TXPlatform.exe
C:\WINNT\RichDll.dll
C:\WINNT\system32\Netos.exe
C:\WINNT\uninstall\rundl132.exe
C:\WINNT\system32\ctfmon.exe

然后压缩发来看看
烟酒如梦 - 2009-2-9 15:16:00


引用:
原帖由 天月来了 于 2009-2-9 15:13:00 发表
下载文件提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取:
C:\Autorun.inf
C:\   .exe
D:\Autorun.inf
D:\   .exe
E:\Autorun.inf
E:\   .exe
F:\Autorun.inf
F:\   .e


我已经提取完了,上传到楼了!
aaccbbdd - 2009-2-9 15:20:00
搜索c:\program files里全部EXE文件
全部删除

1.建议使用XDelBox删除以下文件:(XDelBox1.8下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,(在待删除文件列表里点击右键选择从剪贴板导入不检查路径,)选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\winnt\system32\drivers\txplatform.exe
c:\winnt\uninstall\rundl132.exe
c:\winnt\system32\netos.exe
C:\   .exe
D:\   .exe
E:\   .exe
F:\   .exe
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[load]    <C:\WINNT\uninstall\rundl132.exe>
[Explorer]    <C:\WINNT\system32\drivers\TXPlatform.exe>

  启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
  (勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务)

[Netos / Netos]    <C:\WINNT\system32\Netos.exe>


附件清空映像劫持项

附件: 映像劫持修复工具.rar
aryda - 2009-2-9 15:30:00
弱弱的插一下..个人认为这两个也有问题...大大觉得怎么样?
<C:\WINNT\system32\NavLogon.dll>

[ExpScaner / ExpScaner][Running/Auto Start]
  <\??\C:\PROGRAM FILES\RISING\RAV\ExpScan.sys><>
aaccbbdd - 2009-2-9 15:33:00
NavLogon.dll
貌似是诺顿的

[ExpScaner / ExpScaner][Running/Auto Start]
  <\??\C:\PROGRAM FILES\RISING\RAV\ExpScan.sys><>
貌似就这样
烟酒如梦 - 2009-2-9 15:37:00
大哥,我买的正版瑞星。。。

你现在竟然交给我手动清除?请问我买正版软件干什么???

一台好说,10多台电脑不同的地方。。。。。
天月来了 - 2009-2-9 15:37:00
因为这不毒可能感染系统盘部分文件,难以靠手工清理

试试下载Dr.Web CureIt 到桌面,免安装的,直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

反复扫描清理试试
烟酒如梦 - 2009-2-9 15:38:00
诺顿是oem的,瑞星是正版的,金山是免费版的。。。

都杀不了。。。。我都试验了。。。
aaccbbdd - 2009-2-9 15:41:00
瑞星可以删除:default3: :default3:

病毒名称                                                        处理结果                                                        查杀方式                                                        访问染毒文件的进程                                              文件                                                           
Worm.Win32.Viking.vjd                                          删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96%E5%B7%A5%E5%85%B7.RAR>>文件提取工具\rundl132.exe
Backdoor.Win32.Gpigeon.adr                                      删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96%E5%B7%A5%E5%85%B7.RAR>>文件提取工具\Netos.exe
Worm.Win32.Viking.vjf                                          删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96%E5%B7%A5%E5%85%B7.RAR>>文件提取工具\RichDll.dll>>petite2x
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96%E5%B7%A5%E5%85%B7.RAR>>文件提取工具\TXPlatform.exe
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96%E5%B7%A5%E5%85%B7.RAR>>文件提取工具\   (4).exe
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96%E5%B7%A5%E5%85%B7.RAR>>文件提取工具\   (3).exe
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96%E5%B7%A5%E5%85%B7.RAR>>文件提取工具\   (2).exe
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96%E5%B7%A5%E5%85%B7.RAR>>文件提取工具\   .exe
Worm.Win32.Viking.vjd                                          清除成功                                                        文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\H1QK6W9Z.DEFAULT\CACHE\3D6E093FD01>>文件提取工具\rundl132.exe
Backdoor.Win32.Gpigeon.adr                                      删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\H1QK6W9Z.DEFAULT\CACHE\3D6E093FD01>>文件提取工具\Netos.exe
Worm.Win32.Viking.vjf                                          删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\H1QK6W9Z.DEFAULT\CACHE\3D6E093FD01>>文件提取工具\RichDll.dll>>petite2x
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\H1QK6W9Z.DEFAULT\CACHE\3D6E093FD01>>文件提取工具\TXPlatform.exe
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\H1QK6W9Z.DEFAULT\CACHE\3D6E093FD01>>文件提取工具\   (4).exe
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\H1QK6W9Z.DEFAULT\CACHE\3D6E093FD01>>文件提取工具\   (3).exe
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\H1QK6W9Z.DEFAULT\CACHE\3D6E093FD01>>文件提取工具\   (2).exe
Backdoor.Win32.Gpigeon2008.ajy                                  删除染毒文件成功                                                文件监控                                                        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE                    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\H1QK6W9Z.DEFAULT\CACHE\3D6E093FD01>>文件提取工具\   .exe
aaccbbdd - 2009-2-9 15:43:00
搜索c:\program files里全部EXE文件

全部删除
听不懂?:default3:

。。。。。。。。。。。。

估计瑞星被感染了
aryda - 2009-2-9 15:43:00
可是这个很不寻常啊..正常瑞星组合版7个驱动..没一个长这样的..我还第一次见呢..
[hookcont / hookcont][Running/System Start]
  <system32\drivers\HookCont.sys><Beijing Rising Information Technology Co., Ltd.>
[hooksys / hooksys][Running/System Start]
  <system32\drivers\HookSys.sys><Beijing Rising Information Technology Co., Ltd.>
[Rising RfwBase Driver / RfwBase9][Running/Manual Start]
  <system32\DRIVERS\rfwbase.sys><Beijing Rising Information Technology Co., Ltd.>
[rfwtdi / rfwtdi][Running/Auto Start]
  <\??\C:\Program Files\Rising\Ris\rfwtdi.sys><Beijing Rising Information Technology Co., Ltd.>
[rsfwdrv / rsfwdrv][Running/System Start]
  <\??\C:\Program Files\Rising\Ris\rsfwdrv.sys><Beijing Rising Information Technology Co., Ltd.>
[RsNTGDI / RsNTGDI][Running/Boot Start]
  <\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Information Technology Co., Ltd.>
[RsProtect / RsProtect][Running/System Start]
  <system32\drivers\RsPtect.sys><Beijing Rising Information Technology Co., Ltd.>

ps:不要偏题了..楼主病毒是感染型的..个人建议手动杀完后也应该重装全盘杀毒比较保险...
天月来了 - 2009-2-9 15:43:00
你上传的文件,瑞星最新版本病毒库已全杀了
aaccbbdd - 2009-2-9 15:46:00
貌似就这样
天月来了 - 2009-2-9 15:46:00
没关系,那些不管了
aryda - 2009-2-9 15:49:00
好的..我知道了..楼主按大大说的做吧...瑞星能全杀了..重装瑞星后全部查毒吧..
天月来了 - 2009-2-9 15:54:00
他因为感染的地方太多

可能难以靠瑞星的安装升级的过程来处理
aaccbbdd - 2009-2-9 15:55:00
:default2:
这东东就感染%programfiles%的EXE

怕是安装在
%programfiles%的被感染的瑞星
不能运行了
烟酒如梦 - 2009-2-9 16:56:00
以前有瑞星,被病毒屏蔽了。

然后,从新安装瑞星就安装不了了。

一安装就错误,我没说现在的瑞星杀不了。。。。。

真郁闷~~~倒弄到现在也没弄好。。。

大过节的,,,上火。
backway - 2009-2-9 17:11:00
呵呵,楼主别生气哈,元宵快乐

之前说的那么多exe文件和autorun.inf你都删除了么,这必须要删的。
另外就是试试下载Dr.Web CureIt 到桌面,免安装的,直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

用那个全盘扫描,默认是先快速扫描的。
如果会用PE的话进入PE用那个查杀更好~
baohe - 2009-2-9 17:37:00


引用:
原帖由 烟酒如梦 于 2009-2-9 14:33:00 发表
山寨熊猫无法清除,cool_game


谁能帮我啊?

瑞星给屏蔽了。。。

从新安装也无法安装。。。。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.


什么烂毒啊?汗!这个空格.exe根本就是死东西。

baohe - 2009-2-9 17:40:00
再汗一次。
这个ctfmon.exe也是死的

1
查看完整版本: 山寨熊猫无法清除,cool_game(sreng2扫描结果已附件形式上传)(文件提取完成上传到1楼)
© 2000 - 2025 Rising Corp. Ltd.