Backdoor.Win32.Gpigeon2008.cd.瑞星无法删除，求助 bbs.ikaka.com

ZoRroX - 2009-2-27 21:14:00

病毒名称处理结果发现日期查杀方式访问染毒文件的进程文件
Backdoor.Win32.Gpigeon2008.cd 不处理 2009-02-27 21:03:15 文件监控 D:\PROGRAM FILES\360SAFE\360SAFE.EXE C:\WINDOWS\SYSTEM\SYSTEM DRIVER SERVICE.BAT
Backdoor.Win32.Gpigeon2008.cd 不处理 2009-02-27 20:45:52 文件监控 D:\PROGRAM FILES\360SAFE\SAFEMON\360TRAY.EXE C:\WINDOWS\SYSTEM\SYSTEM DRIVER SERVICE.BAT
Backdoor.Win32.Gpigeon2008.cd 不处理 2009-02-27 20:45:10 文件监控 C:\WINDOWS\SYSTEM32\ZD.EXE C:\WINDOWS\SYSTEM\SYSTEM DRIVER SERVICE.BAT
Backdoor.Win32.Gpigeon2008.cd 不处理 2009-02-27 20:44:42 文件监控 C:\WINDOWS\SYSTEM32\CMD.EXE C:\WINDOWS\SYSTEM32\ZD.EXE

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); MAXTHON 2.0)

networkedition - 2009-2-27 21:15:00

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

aaccbbdd - 2009-2-27 21:19:00

（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

ZoRroX - 2009-2-27 21:27:00

染毒了吗？

附件: 新建文本文档 (2).txt

aaccbbdd - 2009-2-27 21:32:00

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\boot-hf.exe
c:\windows\system\system driver service.bat

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[boot-hf] <c:\windows\BOOT-hf.exe>

启动项目－－服务－－ Win32服务应用程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务）

[System Driver Service (SDS) / System Driver Service (SDS) ] <C:\WINDOWS\system\system driver service.bat>

ZoRroX - 2009-2-27 21:35:00

在游侠网下了个补丁用了后就开始有这病毒的提示了，但按清除还是删除最后都变成不处理

aaccbbdd - 2009-2-27 21:39:00

...................

4楼说的很清楚了

游侠网。。。。。。
不靠谱

安装了瑞星防火墙？安装规则包吧

ZoRroX - 2009-2-27 22:09:00

我都按你的步骤做了,重启后突然又有新病毒！
请等我再发个附件

aaccbbdd - 2009-2-27 22:12:00

新病毒？

日志+瑞星监控记录
都发上来

ZoRroX - 2009-2-27 22:17:00

等你

附件: 新建文本文档 (3).txt

附件: ruixing.txt

ZoRroX - 2009-2-27 22:19:00

API HOOK
入口点错误：CreateProcessA (危险等级: 高, 被下面模块所HOOK: 0x00EA1FFD)
入口点错误：CreateProcessW (危险等级: 高, 被下面模块所HOOK: 0x00EA20E5)

请问它提示我这个，我要不要修复啊？

aaccbbdd - 2009-2-27 22:23:00

不修复

日志是空的..........

ZoRroX - 2009-2-27 22:26:00

啊，这个是了

附件: 新建文本文档 (3).txt

aaccbbdd - 2009-2-27 22:33:00

弱弱的问楼主
能进安全模式么

能的话
可以试试大蜘蛛

ZoRroX - 2009-2-27 22:37:00

病毒的特点是在C:\WINDOWS\Help文件夹里面生成bai.BAT help.dll bai.VBS 3个文件
在C:\WINDOWS\system32文件夹里面生成cc.exe

我删了.BAT help.dll bai.VBS 3个文件cc.exe
马上多出了C:\WINDOWS\LEE.EXE 的病毒。删了它，又提示
了C:\RECYCLED\DC6.EXE 的病毒，我现在不敢删了

ZoRroX - 2009-2-27 22:38:00

大蜘蛛是什么意思？

ZoRroX - 2009-2-27 22:39:00

我进安全模式杀吗？

aaccbbdd - 2009-2-27 22:44:00

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
下载大蜘蛛

记得
进入安全模式运行
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

ZoRroX - 2009-2-28 17:54:00

本来以为用过大蜘蛛杀完就好了，但是在线看电影的时候
突然提示
c:\windows\system32\cscript.exe
c:\windows\system32\ftp.exe
通过瑞星防火场的访问规则，
我马上又禁止了它。请问我是不是被开了后门什么的啊？
我以前也试过这两被开，后来不得不重装。到底是还有病毒还是我的东西被改了？

附件: -new.log

aaccbbdd - 2009-2-28 17:57:00

.........
你看的什么电影。。。。。

大蜘蛛上次查出来什么？

ZoRroX - 2009-2-28 18:07:00

我在TUDOU看海上钢琴师的时候提示的，
大蜘蛛查出了几个瑞星升级包，一秒关机.exe那一些工具，和一个上次删了的c:\windows\system\system driver service.bat

aaccbbdd - 2009-2-28 18:11:00

断网
重新下载最新大蜘蛛扫描

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

你就不能安装规则包么:default3:

日志确实是没什么

ZoRroX - 2009-2-28 18:52:00

”远离木马、蠕虫和黑客攻击，让电脑变得更安全

强烈推荐瑞星防火墙/瑞星全功能安全软件用

户使用瑞星防火墙/全功能软件自定义规则包 “

杭州志愿者论坛 [BBS.HZVA.ORG] 提示信息您无权进行当前操作，这可能因以下原因之一造成

对不起，本帖要求阅读权限高于 3 才可浏览，请返回。
？这是什么回事

aaccbbdd - 2009-2-28 19:20:00

你去杭州志愿者论坛注册个号么。。。。。。

规则包会阻断病毒行为

安装前先看下规则包的注意事项和设置教程

瑞星卡卡安全论坛