瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

«1112131415161718   17  /  18  页   跳转

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

收藏
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-05 12:23 | 显示全部 短消息 资料
字号: 161楼

引用:
【feitianchen527的贴子】我也中毒了,各位高手请帮忙
HijackThis_815汉化版扫描日志 V1.99.1
保存于      12:27:34, 日期 2006-1-28
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

...........................


以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html
http://endurer.bokee.com/2591241.html

重新启动到安全模式

停止并禁用服务:
Logical Dlsk Manager (dmserver)
LogicalService Web

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\rav.exe
C:\WINDOWS\rav.DLL
C:\WINDOWS\rav_Hook.DLL
C:\WINDOWS\rav_key.DLL

C:\WINDOWS\ceshost.exe
C:\WINDOWS\ceshost.DLL
C:\WINDOWS\ceshost_Hook.DLL
C:\WINDOWS\ceshost_key.DLL

C:\WINDOWS\system32\socul.dll

先用压缩软件(如WinRAR, WinZIP)打包备份,再把原文件删除。并在全部修复工作完成后,请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口,用HijackThis修复下列项目:

R3 - URLSearchHook: SgUrlSearHook Class - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - C:\WINDOWS\system32\socul.dll

O23 - NT 服务: Logical Dlsk Manager (dmserver) - Unknown owner - C:\WINDOWS\rav.exe

O23 - NT 服务: LogicalService Web - Unknown owner - C:\WINDOWS\ceshost.exe


清空IE临时文件夹
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-05 12:26 | 显示全部 短消息 资料
字号: 162楼

引用:
【下午2点30的贴子】最近使用瑞星的游戏保护(街头篮球、飚车),一运行街头篮球就会提示发现木马 Explorer.EXE>>C:\WINNT\Explorer.EXE ->Worm.Mail.Fanbot 飚车直就是进不去了(进去过一次),不运行游戏就没事,查也查不到,请楼主帮忙啊! ̄
...........................


在此之前已经有不少玩“街头篮球”这款游戏的朋友遇到了与你相同的问题,建议先不要玩这个游戏,并把被杀毒软件报为病毒的文件上到瑞星加以确认。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-05 12:31 | 显示全部 短消息 资料
字号: 163楼

引用:
【毛毛远行的贴子】Backdoor.Gpigeon.thj 好难杀
半帮,忙

...........................


你可以先尝试瑞星灰鸽子专杀工具。

如果不见效,请把杀毒软件的杀毒日志导出,与HijackThis扫描的log一起发上来,方便大家分析。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-10 13:07 | 显示全部 短消息 资料
字号: 164楼

引用:
【影子110的贴子】现在有好多人都说一开机瑞星就发现鸽子,杀了就没了,但下次再开机时却又查出有鸽子~~
问其病毒路径,如下~
C:\Program Files\Internet explorer\Iexplore.exe

这是怎么回事呢~~?


开机时自动打开了IE(运行了C:\Program Files\Internet explorer\Iexplore.exe)?

在windows 2000/XP等基于NT内核的系统中,是可以向其他进程空间写入/运行代码的,

所以病毒程序也可以向IE进程空间写入恶意代码,这样杀毒软件在扫描时可能会报行。

引用:
【影子110的贴子】
日志中也看不出问题~~~?
是HJ扫的日志已经无法看到这种鸽子了?还是它在系统启动时利用某启动项加载上的~~?
亦或是瑞星发现的只是鸽子的一些残余的DLL文件,(只是无法彻底清除~~)
...........................


一般我们发的是HijackThis的简明log,只列出了最常见的开机启动项目,而不是所有启动项目。

如果简明log看不出,可以考虑生成完整启动项列表看看。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-10 13:08 | 显示全部 短消息 资料
字号: 165楼

引用:
【guoxin的贴子】F:\QQ\TIMPlatform.exe
  大家帮忙怎么删除(鸽子)病毒啊
   
...........................


请把杀毒软件的杀毒日志导出贴上来,方便大家分析.
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-10 13:12 | 显示全部 短消息 资料
字号: 166楼

引用:
【兰色骆驼的贴子】还是不行啊~~一运行街头篮球,病毒就出来了。再扫描一下,...........................



你可以尝试修复下面这项:

O2 - BHO: (no name) - {35980F6E-A137-4E50-953D-813BB8556899} - (no file)


在此之前已经有不少玩“街头篮球”这款游戏的朋友遇到了与你相同的问题,建议先不要玩这个游戏,并把被杀毒软件报为病毒的文件上到瑞星加以确认。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-10 13:14 | 显示全部 短消息 资料
字号: 167楼

引用:
【xiaolongge的贴子】
我运行街头篮球就有灰鸽子病毒是怎么回事啊!!
...........................


在此之前已经有不少玩“街头篮球”这款游戏的朋友遇到了与你相同的问题,建议先不要玩这个游戏,并把被杀毒软件报为病毒的文件上到瑞星加以确认。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-15 14:24 | 显示全部 短消息 资料
字号: 168楼

引用:
【xiaolongge的贴子】请门楼主我一开瑞星防火墙就提示受到儒虫王攻击端口1434 请问儒虫王是木马病毒吗??
...........................


蠕虫和木马都是恶意代码,但还是有一些差别的。

蠕虫王是个比较老的蠕虫了,瑞星防火墙已经帮你拦截了,不必担心。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-02-15 14:38 | 显示全部 短消息 资料
字号: 169楼

引用:
【famine的贴子】病毒名称    路径    文件
Trojan.DL.Small.qv    C:\Documents and Settings\xt\Local Settings\Temporary Internet Files\Content.IE5\WRJZU4DH    icyfox[1].js>>/#.exe
Trojan.PSW.Liumazi.e    C:\Documents and Settings\xt\Local Settings\Temporary Internet Files\Content.IE5\0GPG5V8E    icyfox[2].js>>/#.exe
Trojan.PSW.Liumazi.e    C:\Documents and Settings\xt\Local Settings\Temporary Internet Files\Content.IE5\0GPG5V8E    icyfox[2].js>>/#.exe
Backdoor.Gpigeon.uvc    IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE   
Backdoor.Gpigeon.uvc    IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE   
Backdoor.Gpigeon.uvc    IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE   
Backdoor.Gpigeon.uvc    IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE   
Dropper.Delf.t    C:\Documents and Settings\xt\Local Settings\Temporary Internet Files\Content.IE5\RZXJF98W    icyfox[1].js>>/#.exe
Dropper.Delf.t    C:\Recycled    Dc1.js>>/#.exe
Backdoor.Gpigeon.uvc    IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE   
Backdoor.Gpigeon.vhy    C:\WINDOWS    G_Server2.0.exe
Dropper.Agent.pf    C:\chenhu2    cnn.exe

...........................


以下修复中的操作可参考:

【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html
http://endurer.bokee.com/2591241.html

重新启动到安全模式

如果使用了系统还原功能, 请先关闭此功能。
卸载:完美网译通

对于:
Trojan.DL.Small.qv C:\Documents and Settings\xt\Local Settings\Temporary Internet Files\Content.IE5\WRJZU4DH icyfox[1].js>>/#.exe
Trojan.PSW.Liumazi.e C:\Documents and Settings\xt\Local Settings\Temporary Internet Files\Content.IE5\0GPG5V8E icyfox[2].js>>/#.exe
Trojan.PSW.Liumazi.e C:\Documents and Settings\xt\Local Settings\Temporary Internet Files\Content.IE5\0GPG5V8E icyfox[2].js>>/#.exe
Dropper.Delf.t C:\Documents and Settings\xt\Local Settings\Temporary Internet Files\Content.IE5\RZXJF98W icyfox[1].js>>/#.exe

可以通过清空IE临时文件夹来清除。
Dropper.Delf.t C:\Recycled Dc1.js>>/#.exe
这个病毒文件在C盘回收站中,你可以用WinRAR进入C:\Recycled,删除文件C:\Recycled Dc1.js

用WinRAR进入C:\WINDOWS, 删除文件G_Server2.0.exe
删除C:\chenhu2里的文件 cnn.exe
删除这些文件前,你可以先打包备份。

关闭所有文件夹和浏览器窗口,用HijackThis修复下列项目:

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll (file missing)
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)

O3 - IE工具栏增项: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll

O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab

清空IE临时文件夹

另外,

O4 - 启动项HKLM\\Run: [SystemTray] SysTray.Exe

这一项一般不会出现,所以请先用msconfig取消这个启动项。

然后设置系统显示所有文件和文件夹,用开始菜单的查找功能,在C盘全盘查找名为SysTray.Exe的文件,看看有几个,在哪些文件夹里。
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2006-04-01 18:20 | 显示全部 短消息 资料
字号: 170楼

【回复“jidusizi”的帖子】

没有发现灰鸽子的项目,不过发现有其它恶意程序。

请先到

[必读]反浏览器劫持论坛说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

下载CWShredder.exe


以下修复工作中有关操作方法可参考:
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

重新启动到安全模式

如果使用了系统还原功能, 请先关闭此功能。

开始--》设置--》控制面板--》添加删除程序--》卸载:雅虎助手、RichMedia、baigoo、一搜、Xplus


设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

F:\WINDOWS\system32\BCUP.exe
以及文件夹:
F:\Program Files\baigoo
F:\Program Files\Xplus

把它们用压缩软件(如winrar, winzip)打包备份,待全部修复工作完成后,
把压缩包作为email附件发到endurer@163.com

删除文件:
F:\WINDOWS\system32\res.exe

删除文件夹:
F:\Program Files\baigoo
F:\Program Files\Common Files\UPDAT
F:\Program Files\Xplus

关闭所有IE窗口,运行CWShredder.exe让它修复(Fix)
相关教程:CoolWebSearch专杀——CoolWeb Shredder(CoolWeb粉碎机)简介
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1

请关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描,在下列建议修复的项目前打上勾,然后点[修复](Fix)(如果你清楚某项是安全的,可以不处理):

F:\WINDOWS\system32\BCUP.exe

F:\Program Files\Xplus\xvcclip.exe

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)

O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - F:\Program Files\CoolWebsite\QuickLink.dll

O2 - BHO: GoodU BHOHelper - {8816EA7A-5944-4277-B98E-2C0A46FB36E9} - F:\Program Files\baigoo\bgook.dll

O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - F:\WINDOWS\DOWNLO~1\hbhelper.dll

O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - (no file)

O4 - HKLM\..\Run: [BCUpdate] F:\WINDOWS\system32\BCUP.exe

O4 - HKLM\..\Run: [Update] F:\Program Files\Common Files\UPDAT\Update.exe

O4 - HKLM\..\Run: [res] F:\WINDOWS\system32\res.exe

O4 - HKLM\..\Run: [bgoomain.exe] F:\Program Files\baigoo\bgoomain.exe

O4 - HKCU\..\Run: [Xplus] "F:\Program Files\Xplus\Xplus_Wait.exe" /min
O4 - HKCU\..\Run: [xvcclip] F:\Program Files\Xplus\xvcclip.exe

O4 - HKCU\..\Run: [Xplus_spy] "F:\Program Files\Xplus\xvcclip.exe" /min


O9 - Extra button: (no name) - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - (no file)

O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)

O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)

O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)

O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)

O9 - Extra button: (no name) - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - (no file)

O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)

清空IE临时文件夹攻
gototop
 
<<上一主题|下一主题>>
«1112131415161718   17  /  18  页   跳转
页面顶部
Powered by Discuz!NT