救救我啊！这是灰鸽子吗？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛救救我啊！这是灰鸽子吗？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

救救我啊！这是灰鸽子吗？

aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:	发表于： 2005-11-14 18:24 \| 显示全部短消息资料字号：小中大 1楼救救我啊！这是灰鸽子吗？我不知是中了什么病毒木马，折磨得我痛苦之极。恳请各位大侠伸出援手啊！！感谢之至！！！！！我开机就有“IEXPLORE.EXE”，用户名：SYSTEM，路径是"C:\Program Files\Internet Explorer\IEXPLORE.EXE"，可是IE明明就没有开启。如果我开一个IE窗口后，进程中就有两个IEXPLORE.EXE。一个用户名是SYSTEM，另一个用户名是我的帐户名。用HijackThis扫描，在日志中发现一个是大写一个是小写。同时，我用windows xp 自带的管理工具查看“服务”，发现有一个服务名是SystemRount，其描述是：“系统网络控制管理服务”。被设为自动启动，我查看时它已停止。但有一次，我刚开机就立即打开windows的工具“服务”去查看服务，却发现它服务状态是“已启动”，但它只隔很短的时间，服务状态就变为“已停止”。这个服务指向一个文件，路径是C:\WINDOWS\sysoc.exe 另外，我在注册表中查到这个分支：注册表中有这个分支： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemRountServer 我有些怀疑这是灰鸽子木马，但在安全模式下，显示所有文件及不隐藏系统文件情况下，并未找到杀灰鸽子贴子里所说的_hook.dll，只有mag_hook.dll。我把SystemRount服务禁用后，仍然查不到相关的_hook.dll，仍只有mag_hook.dll。我完全糊涂了，不知这是什么东东？我也去了置顶贴看了，但看不太懂，只好请哪位大侠帮我看看，非常感谢啊！！！这是我的HijackThis扫描日志 HijackThis_zww汉化版扫描日志 V1.99.1 保存于 1:53:44, 日期 2005-11-15 操作系统： Windows XP SP2, v.2144 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2144) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\iexplore.exe （开了一个IE窗口后就有两个相同进程，第一个是开机就有） C:\WINDOWS\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\IE New Window Maximizer\iemaximizer.exe D:\HijackThis\HijackThis1991zww.exe C:\WINDOWS\system32\wuauclt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - IE工具栏增项: CyberArticle Express - {769A6A36-ED24-4376-BC7C-80225BF35698} - C:\Program Files\CyberArticle\CAExp.dll O4 - 启动项HKLM\\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - 启动项HKLM\\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - 启动项HKLM\\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [IE New Window Maximizer] C:\Program Files\IE New Window Maximizer\iemaximizer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 浏览器额外的按钮: Pictures - {C7486E80-B111-4768-995E-23CF307346FC} - C:\Program Files\UnH Solutions\Flash and Pics Control\FPCButton.dll (HKCU) O14 - IERESET.INF: START_PAGE_URL=about:blank O17 - HKLM\System\CCS\Services\Tcpip\..\{3D5FD1EA-EC6A-4AE5-943E-5F81755E83BD}: NameServer = 211.162.208.2,211.162.208.18 O17 - HKLM\System\CS1\Services\Tcpip\..\{3D5FD1EA-EC6A-4AE5-943E-5F81755E83BD}: NameServer = 211.162.208.2,211.162.208.18 O17 - HKLM\System\CS2\Services\Tcpip\..\{3D5FD1EA-EC6A-4AE5-943E-5F81755E83BD}: NameServer = 211.162.208.2,211.162.208.18 O18 - 列举现有的协议: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - NT 服务: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - NT 服务: SystemRount (SystemRountServer) - Unknown owner - C:\WINDOWS\sysoc.exe O23 - NT 服务: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe 我把这个服务的截图放上来。见下：附件: 文件名:61963720051114182424.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-14 18:24:24 描述: 2005-11-17 20:03:20
aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:	分享到：

aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:	发表于： 2005-11-14 18:45 \| 显示全部短消息资料字号：小中大 2楼谢谢您的回复啊。请教这是不是灰鸽子呢？我看见有些贴子里说它有好几个相关文件而且注册表也需要清理，不知是不是这样？
aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:

aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:	发表于： 2005-11-14 21:21 \| 显示全部短消息资料字号：小中大 3楼我又发现了一些新情况，就统一放在顶楼的贴子里
aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:

aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:	发表于： 2005-11-15 06:36 \| 显示全部短消息资料字号：小中大 4楼各位大侠，恳请帮帮忙啊。。。
aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:

aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:	发表于： 2005-11-17 20:03 \| 显示全部短消息资料字号：小中大 5楼谢谢各位大侠的热心回复。原来这的确是一个灰鸽子木马的变种。要进入安全模式删除C:\WINDOWS\sysoc.exe，然后删除相关的服务和注册表项目。有相同困扰的朋友可参考一下。
aboutblanker1 初生襁褓狮帖子:9 注册: 2005-11-14 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT