1   1  /  1  页   跳转

病毒Backdoor.Graydird杀不掉……

收藏
三黑集团
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-06-26
  • 来自:
发表于: 2005-08-10 19:13 | 只看楼主 短消息 资料
字号: 1楼

病毒Backdoor.Graydird杀不掉……

各位大虾好,偶的电脑中了如图所示病毒
我用诺顿Symantec.SAV8.1企业中文版检测到的
请各位帮一下忙,在线等
只要一有任何操作就出现此病毒

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-10 19:13:40
描述:



最后编辑2005-08-10 20:01:39
分享到:
gototop
 
三黑集团
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-06-26
  • 来自:
发表于: 2005-08-10 19:15 | 只看楼主 短消息 资料
字号: 2楼

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      19:08:20, 日期 2005-8-10
操作系统:  Windows XP  (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\3721\assistse.exe
E:\software\日志扫描\HijackThis1991zww.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v5.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\3721\Assist\Angling.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O4 - 启动项HKLM\\Run: [vptray] D:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - 启动项HKLM\\Run: [IMSCMig] rem C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [TkBellExe] rem "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC9E277-975D-4B8E-8ED2-A43EE9CC7ED0}: NameServer = 202.96.128.166,202.96.128.86
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC9E277-975D-4B8E-8ED2-A43EE9CC7ED0}: NameServer = 202.96.128.166,202.96.128.86
O17 - HKLM\System\CS2\Services\Tcpip\..\{0EC9E277-975D-4B8E-8ED2-A43EE9CC7ED0}: NameServer = 202.96.128.166,202.96.128.86
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - NT 服务: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: DefWatch - Symantec Corporation - D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - NT 服务: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - NT 服务: Protected Storage Server Packe (QoS Packet Scheduler Server) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - NT 服务: rundll32 - Unknown owner - C:\WINDOWS\G_Server.exe
gototop
 
cher
头像
初生襁褓狮
  • 帖子:336
  • 注册: 2005-06-13
  • 来自:
发表于: 2005-08-10 19:33 | 短消息 资料
字号: 3楼

O23 - NT 服务: rundll32 - Unknown owner - C:\WINDOWS\G_Server.exe这项就是病毒的服务。
gototop
 
三黑集团
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-06-26
  • 来自:
发表于: 2005-08-10 19:46 | 只看楼主 短消息 资料
字号: 4楼

- NT 服务: Protected Storage Server Packe (QoS Packet Scheduler Server) - Unknown owner - C:\WINDOWS\svchost.exe
这一项是不是呢```
G_Server.exe这一项我删了
gototop
 
cher
头像
初生襁褓狮
  • 帖子:336
  • 注册: 2005-06-13
  • 来自:
发表于: 2005-08-10 19:52 | 短消息 资料
字号: 5楼

【回复“三黑集团”的帖子】NT 服务: Protected Storage Server Packe (QoS Packet Scheduler Server) - Unknown owner - C:\WINDOWS\svchost.exe
这一项是不是呢```
我也不大清楚。应该不是。
手动杀毒方法如下:
查找删除前请先显示所有文件和文件夹(包括受保护的系统文件)(如果有的话):

G_Server.exe , G_Server.dll ,G_ServerKey.dll, G_Server_Hook.dll
清除的方法:
Windows 9X/Me系统可以尝试先将它的启动项去掉。
Windows 2000/XP/2003系统到注册表编辑器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下查找“G_Server.EXE”,然后删除,重新启动后就能直接将那些病毒文件删除掉了。

并停止"Gray_Pigeon_Server":开始--控制面版--管理工具--服务--找到"Gray_Pigeon_Server"属性--改成"已禁用"即可.
gototop
 
三黑集团
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-06-26
  • 来自:
发表于: 2005-08-10 19:58 | 只看楼主 短消息 资料
字号: 6楼

OK了
谢谢cher了,上一次也着过一次,这次一定记住了……
gototop
 
cher
头像
初生襁褓狮
  • 帖子:336
  • 注册: 2005-06-13
  • 来自:
发表于: 2005-08-10 20:01 | 短消息 资料
字号: 7楼

不用谢。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT