瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 那位大侠帮忙看看是否我是否中了灰鸽子了

1   1  /  1  页   跳转

那位大侠帮忙看看是否我是否中了灰鸽子了

收藏
谢谢帮助!!!
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2005-10-28
  • 来自:
发表于: 2005-11-12 11:23 | 只看楼主 短消息 资料
字号: 1楼

那位大侠帮忙看看是否我是否中了灰鸽子了



HijackThis_815汉化版扫描日志 V1.99.1
保存于      10:21:30, 日期 2005-11-12
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
G:\工具\内存扫把\ram.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wuauclt.exe
G:\工具\木马防线\木马防线\AGB4\Monitor.exe
G:\工具\maxthon-v1.3.3_build_50\Maxthon.exe
G:\工具\Hijackthis\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Program Files\JetCar-v1.65\jccatch.dll
O3 - IE工具栏增项: CyberArticle Express - {769A6A36-ED24-4376-BC7C-80225BF35698} - G:\工具\CyberArticle\CAExp.dll
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [KavStart] "G:\工具\KAV2005\KAVStart.exe" -startup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [Windows木马防火墙] G:\工具\木马甘道夫.asp\木马清道夫6.6\Trojanwall.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: 内存扫把.lnk = ?
O8 - IE右键菜单中的新增项目:  >> 彩信发送 << - res://C:\Program Files\MMSAssist\MMSAssist.dll/mms.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - G:\工具\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - G:\工具\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\JetCar-v1.65\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\JetCar-v1.65\jc_all.htm
O8 - IE右键菜单中的新增项目: 使用超级解霸播放 - G:\工具\Herosoft\Hero 9\MPURLGET.HTM
O8 - IE右键菜单中的新增项目: 保存: 完整网页... - G:\工具\CyberArticle\script\Save.htm
O8 - IE右键菜单中的新增项目: 保存: 更多保存内容... - G:\工具\CyberArticle\script\SaveAuto.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://G:\工具\office\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 导出当前页到超星阅览器(&A) - G:\工具\SSREADER36\ss_all.htm
O8 - IE右键菜单中的新增项目: 导出选中部分到超星阅览器(&S) - G:\工具\SSREADER36\ss_select.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - G:\工具\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - G:\工具\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - G:\工具\qq\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\游戏\HFGameOPT\GameClient.exe
O9 - 浏览器额外的按钮: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - G:\工具\Herosoft\Hero 9\STHSDVD.EXE
O9 - 浏览器额外的“工具”菜单项: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - G:\工具\Herosoft\Hero 9\STHSDVD.EXE
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\JetCar-v1.65\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\JetCar-v1.65\flashget.exe
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的按钮: 保存: 完整网页... - {555F1BF9-AB69-4132-A8B6-7A06E3ACC98C} - G:\工具\CyberArticle\Script\Save.htm (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D766B292-8F2B-489A-9143-76102A840D2C}: NameServer = 210.41.224.33
O23 - NT 服务: ewido security suite control - ewido networks - G:\工具\security suite\ewidoctrl.exe
O23 - NT 服务: ewido security suite guard - ewido networks - G:\工具\security suite\ewidoguard.exe
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - www.huigezi.net - C:\WINDOWS\G_Server2.0.exe
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - NT 服务: kavsvc - Kaspersky Lab - G:\工具\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - NT 服务: MazeServer - Unknown owner - G:\工具\Maze\MazeSvr.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
最后编辑2005-11-12 15:02:28
分享到:
gototop
 
可怜稻草人
头像
初生襁褓狮
  • 帖子:905
  • 注册: 2005-10-20
  • 来自:
发表于: 2005-11-12 11:33 | 短消息 资料
字号: 2楼

O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - www.huigezi.net - C:\WINDOWS\G_Server2.0.exe鸽子
鸽子查杀参考http://forum.ikaka.com/topic.asp?board=28&artid=6202404
gototop
 
谢谢帮助!!!
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2005-10-28
  • 来自:
发表于: 2005-11-12 12:00 | 只看楼主 短消息 资料
字号: 3楼

能给看看我删干净了吗(我是用KillBox删的)
23 - NT 服务: ewido security suite control - ewido networks - G:\工具\security suite\ewidoctrl.exe
O23 - NT 服务: ewido security suite guard - ewido networks - G:\工具\security suite\ewidoguard.exe
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe (file missing)
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - NT 服务: kavsvc - Kaspersky Lab - G:\工具\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - NT 服务: MazeServer - Unknown owner - G:\工具\Maze\MazeSvr.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
gototop
 
可怜稻草人
头像
初生襁褓狮
  • 帖子:905
  • 注册: 2005-10-20
  • 来自:
发表于: 2005-11-12 12:04 | 短消息 资料
字号: 4楼

O23 - NT 服务: MazeServer - Unknown owner - G:\工具\Maze\MazeSvr.exe这是什么
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe (file missing)
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)这二项把注册表中的值删掉
gototop
 
谢谢帮助!!!
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2005-10-28
  • 来自:
发表于: 2005-11-12 12:26 | 只看楼主 短消息 资料
字号: 5楼

谢谢了
O23 - NT 服务: MazeServer - Unknown owner - G:\工具\Maze\MazeSvr.exe 是个教育网的ftp的下载工具 这个是没问题的
不好意思,我能问一下,怎样才能在注册表中找到这两个信息的位子
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-11-12 12:30 | 短消息 资料
字号: 6楼

O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
1.开始-运行输入regedit,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名GrayPigeonServer2.0
2.重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名C:\WINDOWS\G_Server2.0.exe,C:\WINDOWS\G_Server2.0.dll,C:\WINDOWS\G_Server2.0_Hook.dll,C:\WINDOWS\G_Server2.0key.dll,能找到的都删除
gototop
 
谢谢帮助!!!
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2005-10-28
  • 来自:
发表于: 2005-11-12 14:55 | 只看楼主 短消息 资料
字号: 7楼

谢谢了,可是我按照你说得步骤(在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%) 请问“%windows%”是个文件夹吗,我怎么找不到啊
gototop
 
谢谢帮助!!!
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2005-10-28
  • 来自:
发表于: 2005-11-12 14:59 | 只看楼主 短消息 资料
字号: 8楼

孤独豪侠 
可怜稻草人
还有其他的大侠
你们都还在吗
gototop
 
神无
头像
锋芒艾服狮
  • 帖子:1938
  • 注册: 2005-06-16
  • 来自:
发表于: 2005-11-12 15:02 | 短消息 资料
字号: 9楼

%windows%就是C盘下的WINDOWS文件夹
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT