瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助!这个病毒Backdoor.Gpigeon.tqk 是灰鸽子吗?

1   1  /  1  页   跳转

求助!这个病毒Backdoor.Gpigeon.tqk 是灰鸽子吗?

收藏
骑着蝗虫登月
头像
初生襁褓狮
  • 帖子:76
  • 注册: 2005-11-13
  • 来自:
发表于: 2005-11-24 13:28 | 只看楼主 短消息 资料
字号: 1楼

求助!这个病毒Backdoor.Gpigeon.tqk 是灰鸽子吗?

上次我中了灰鸽子,通过斑竹的指导消灭了,可是今天怎么又跑出这个病毒,帮我看看,是不是又中了?
最后编辑2005-11-24 17:10:41
分享到:
gototop
 
骑着蝗虫登月
头像
初生襁褓狮
  • 帖子:76
  • 注册: 2005-11-13
  • 来自:
发表于: 2005-11-24 13:31 | 只看楼主 短消息 资料
字号: 2楼

另附上我的日志,帮我看看,谢谢了
HijackThis_815汉化版扫描日志 V1.99.1
保存于      13:28:45, 日期 2005-11-24
操作系统:  Windows XP SP1 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\rising\Rfw\Rfw.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rav\RAVMON.EXE
D:\下载工具\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [rfw] C:\Program Files\rising\Rfw\Rfw.exe
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: 新浪UC.lnk = C:\Program Files\sina\UC\uc.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O4 - Startup: 迅雷4.lnk = C:\Program Files\Thunder\Thunder.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: 收藏此页到ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - IE右键菜单中的新增项目: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - C:\Program Files\BitSpirit\bsurl.htm
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {88734439-46D0-42C0-A13F-7E881EE550CF} (Filetran Control) - http://www.bluesky.cn/download/filetran.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E72001C7-7F7A-4DB8-804B-43D0A541E5C7}: NameServer = 220.170.64.96 220.170.64.68
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2005-11-24 14:03 | 短消息 资料
字号: 3楼

没有问题啊
gototop
 
病毒新手
头像
自信弱冠狮
  • 帖子:409
  • 注册: 2005-07-20
  • 来自:
发表于: 2005-11-24 14:16 | 短消息 资料
字号: 4楼

说一下报毒的路径和文件!~
gototop
 
K老皮
头像
初生襁褓狮
  • 帖子:727
  • 注册: 2004-07-22
  • 来自:
发表于: 2005-11-24 15:47 | 短消息 资料
字号: 5楼

没看到啊
gototop
 
airplane
头像
初生襁褓狮
  • 帖子:70
  • 注册: 2005-11-24
  • 来自:
发表于: 2005-11-24 17:10 | 短消息 资料
字号: 6楼

[转帖]:查杀灰鸽子的一次经历
[转自]: http://bbs.micropoint.com.cn/showthread.php?t=262


主要工作都是微点做了,你只要做善后工作就可以了,这里我写一下查杀灰鸽子的一次经历。

一台电脑,装机的时候安装了诺顿防火墙。

最近突然经常性报病毒文件,内容是:
C:\WINNT\G_SERVER.DLL
Backdoor.Graybird.k

但是诺顿无法杀除或者隔离这个文件,毫无疑问,这个文件是被其他进程控制,诺顿无法把它删除。

于是我重启电脑进入Dos,手动删除了这个文件,然后重新启动进入win2k,诺顿仍然报了同样的问题。

这个现象让我意识到了问题的严重,有个外在的程序在操纵木马的生成,这个外部程序本身不是病毒,所以诺顿等杀毒软件无法有效清除它。

于是我检查了启动程序组,检查了注册表启动项,但是都没有发现这个启动程序。

于是抱着尝试一下的心态,下载了微点的软件,安装,重启后,微点报警,结束掉了G_SERVER.DLL。

我查看“木马日志”的时候,里面还有一条G_SERVER.EXE,未知间谍软件。

我按照这个名称查找,最后在win2k的服务中,找到了一个内容是G_SERVER.EXE的条目,然后我就在注册表中删除了对应的信息。

不过微点并没有把木马文件直接删除,而是放进了回收站。我打开回收站,诺顿立刻报警,删掉了回收站里面灰鸽子的尸体。

就这样,灰鸽子被彻底清除出了系统,同时,微点还查到了另外几个木马,过程类似,不重复了。

对于静态的,没有发作的病毒,或者病毒的“尸体”,微点不能有效查杀,但是一旦它们有所动作,微点能够赶在危害产生前,及时查找并且清除他们。

我已经在三台不同的电脑上安装了微点,这三台电脑的共同点是:已经中了木马,并且诺顿和毒霸等杀毒软件无法清除。

在这种情况下,安装微点,重启后仍然能及时有效杀除木马,这是我用过的其他安全工具所不能比拟的。
gototop
 
airplane
头像
初生襁褓狮
  • 帖子:70
  • 注册: 2005-11-24
  • 来自:
发表于: 2005-11-24 17:10 | 短消息 资料
字号: 7楼

微点主动防御软件的下载地址:http://download.micropoint.com.cn
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT