瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中了Backdoor.Gpigeon.5.cy,已有扫描日志请帮忙分析一下

1   1  /  1  页   跳转

中了Backdoor.Gpigeon.5.cy,已有扫描日志请帮忙分析一下

中了Backdoor.Gpigeon.5.cy,已有扫描日志请帮忙分析一下

HijackThis_815汉化版扫描日志 V1.99.1
保存于      22:02:31, 日期 2005-8-30
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
D:\rising\rfw\rfwsrv.exe
D:\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
D:\RISING\RAV\RAVTIMER.EXE
D:\RISING\RAV\RAVMON.EXE
D:\rising\Rfw\rfwmain.exe
C:\WINDOWS\system32\ctfmon.exe
D:\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\Documents and Settings\123\桌面\4842302005817230232\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "D:\工具\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [RavTimer] D:\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "D:\rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\RunOnce: [RavStub] "D:\RISING\RAV\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\工具\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\工具\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\工具\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\工具\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\工具\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 易趣购物 - {EE60714F-AC19-427e-861A-FD60ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {EE60714F-AC19-427e-861A-FD60ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5FFC243-D7AB-4583-BB6B-55D5218D5CFA}: NameServer = 202.103.0.68 202.103.24.68
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\Servera.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - D:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\RISING\RAV\Ravmond.exe

最后编辑2005-08-30 22:44:57
分享到:
gototop
 

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\Servera.exe
gototop
 

按照贵站帖子上教的删除灰鸽子的方法:应该在C盘WINDOWS下,有SERVERA。EXE这个外,还应该有Servera.DLL,Servera.HOOKDLL等3,4个病毒一起存在,但是我只发现了Servera.EXE,其他几个并没发现,这算是杀干净了吗?
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT