【求助】帮我看看“灰鸽子”啊！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】帮我看看“灰鸽子”啊！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【求助】帮我看看“灰鸽子”啊！

che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	发表于： 2005-10-05 15:23 \| 显示全部短消息资料字号：小中大 1楼【求助】帮我看看“灰鸽子”啊！帮我看看“灰鸽子”啊！手工杀了2遍了。。可是开机还是提示“木马”啊。。 O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe O23 - NT 服务: SyGateService (SaService) - Sygate technologies Inc. - d:\Program Files\Sygate\SON\sgserv.exe O23 - NT 服务: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET Broadband Connection\WrOS.EXE 2005-10-06 08:40:52
che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	分享到：

che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	发表于： 2005-10-05 16:03 \| 显示全部短消息资料字号：小中大 2楼 HijackThis_zww汉化版扫描日志 V1.99.1 保存于 16:02:30, 日期 2005-10-5 操作系统： Windows 2000 SP4 (WinNT 5.00.2195) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\PROGRAM FILES\RISING\RAV\RavStub.exe c:\program files\rising\rfw\rfwsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\drivers\CDAC11BA.EXE C:\WINNT\system32\svchost.exe C:\WINNT\system32\regsvc.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Program Files\WinPoET Broadband Connection\WrOS.EXE C:\WINNT\system32\svchost.exe d:\Program Files\Sygate\SON\sgserv.exe C:\WINNT\Explorer.EXE c:\program files\rising\rfw\RfwMain.exe C:\WINNT\SOUNDMAN.EXE C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE C:\PROGRA~1\RISING\RAV\RAVMON.EXE C:\Program Files\WinPoET Broadband Connection\winpppoverethernet.exe D:\Program Files\Sygate\SON\Sygate.exe C:\WINNT\system32\ceoempl.exe C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\RUNDLL32.EXE D:\Program Files\System Safety Monitor\SysSafe.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE F:\Softbak\TOOLS\杀毒软件\HijackThis1[1].99.1扫描日志\HijackThis1991zww.exe R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\rising\Rfw\rfwmain.exe" -Startup O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [a-winpoet-service] "C:\Program Files\WinPoET Broadband Connection\winpppoverethernet.exe" O4 - 启动项HKLM\\Run: [Microsoft Windows 128bit Subsystem] C:\WINNT\system32\9.tmp O4 - 启动项HKLM\\Run: [SyGateManager] d:\Program Files\Sygate\SON\Sygate.exe O4 - 启动项HKLM\\Run: [CeoMan] D:\Program Files\PathInfo\pathmon\ceoman.exe O4 - 启动项HKLM\\Run: [CeoEmpl] ceoempl.exe O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe" O4 - HKCU\..\Run: [Internat.exe] internat.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - IE右键菜单中的新增项目: !搜一搜 - res://C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll/246 O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{572C5583-6567-4378-94D3-F5E506319585}: NameServer = 202.96.69.38 202.96.64.68 O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe O23 - NT 服务: SyGateService (SaService) - Sygate technologies Inc. - d:\Program Files\Sygate\SON\sgserv.exe O23 - NT 服务: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET Broadband Connection\WrOS.EXE
che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:

che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	发表于： 2005-10-05 16:06 \| 显示全部短消息资料字号：小中大 3楼【回复“命运里の金色”的帖子】我是照版主的方法杀的。。。 --- 1、用HijackThis1.99.1（本帖附件中的一个小工具）扫系统日志，在O23项中寻找灰鸽子2005注册的系统服务名（例：WindowsPowerServer）。如果自己看不懂HijackThis日志，可以将日志贴在帖子中，请别人帮助辨认。 2、确认灰鸽子2005注册的系统服务名后，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名（例： WindowsPowerServer）。 3、重启系统，在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。然后在%windows%下寻找病毒文件名（例： D:\WINDOWS\spoolvs.exe），找到后删除之。需要注意的是：灰鸽子2005生成的病毒文件为一组，3－4个。病毒文件命名有一定规律，即：X.exe、X.dll、X_hook.dll以及XKey.dll，其中“X”指病毒文件名的可变部分。例如，你的系统感染灰鸽子2005后，在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息，那么，这个日志提示：这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”；生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll，可能还有一个spoolvsKey.dll。这一组3－4个病毒文件位于D:\WINDOWS\文件夹中。
che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:

che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	发表于： 2005-10-05 16:12 \| 显示全部短消息资料字号：小中大 4楼这是我的瑞星防火墙日志：详细内容2005-10-05 10:21:48, Explorer.EXE>>C:\WINNT\Explorer.EXE ->DoSSer.Suck
che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:

che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	发表于： 2005-10-06 07:48 \| 显示全部短消息资料字号：小中大 5楼哦,还有啊不让我的瑞星升级啊 SSM 拦截到net.exe，net1.exe文件。
che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:

che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	发表于： 2005-10-06 08:38 \| 显示全部短消息资料字号：小中大 6楼哈哈，，搞定了。。是我的C:\WINNT\Explorer.EXE中了木马。。
che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:

che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	发表于： 2005-10-06 08:39 \| 显示全部短消息资料字号：小中大 7楼多谢各位大侠。。
che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:

che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:	发表于： 2005-10-06 08:40 \| 显示全部短消息资料字号：小中大 8楼 C:\WINNT\system32\ceoempl.exe 对了。。这个是一个客户端路径监控软件。。我是用来监控别人用我的电脑的。。。^_^
che999 初生襁褓狮帖子:19 注册: 2005-09-26 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT