史萊姆論壇 - 查看單個文章

psac · 2006-07-24, 01:14 AM

【求助】Backdoor.Gpigeon.zlt
Q:

瑞星殺完毒後重新啟動又會出現老說IE有毒
Logfile of HijackThis v1.99.1
Scan saved at 11:23:31, on 2006-7-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\瑞星\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\瑞星\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
E:\瑞星\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
E:\瑞星\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
E:\瑞星\Rising\Rav\Ravmon.exe
E:\騰訊QQ\QQ.exe
E:\騰訊QQ\TIMPlatform.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.391\HijackThis.exe

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing)
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll (file missing)
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O2 - BHO: Yahoo Bar - {F60FAB6F-115D-4797-9ED1-89793B930876} - C:\WINDOWS\ODBINT.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [RavTask] "E:\瑞星\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\RunOnce: [RavStub] "E:\瑞星\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: >>彩信傳送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 上傳到QQ網路硬碟 - E:\騰訊QQ\AddToNetDisk.htm
O8 - Extra context menu item: 增加到QQ自訂面板 - E:\騰訊QQ\AddPanel.htm
O8 - Extra context menu item: 增加到QQ表情 - E:\騰訊QQ\AddEmotion.htm
O8 - Extra context menu item: 增加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A
O8 - Extra context menu item: 增加到雅虎訂閱(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信傳送該圖片 - E:\騰訊QQ\SendMMS.htm
O9 - Extra button: Yahoo 3.5G電子信箱 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm...&btn=yahoomail (file missing)
O9 - Extra button: 尋寶樂趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=taobao (file missing)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm...ns&btn=yassist (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing)
O9 - Extra 'Tools' menuitem: 彩E精靈設定 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm...s&btn=yahoomsg (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修復瀏覽器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=repair (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm...=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上網記錄 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm...=cns&btn=clean (file missing)
O11 - Options group: [!CNS] 網路實名
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{59FC5D31-5F64-4DED-B3FF-F289E644BBA7}: NameServer = 202.102.152.3 202.102.154.3
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rising\Rav\Ravmond.exe
O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\system32\SVCHOST.ini

A:
病毒救援一般病毒/木馬解決方法索引 (17/07更新)

以下是一些一般病毒/木馬解決方法

Q: 為什麼我的殺毒軟體/清理助手可查出病毒/木馬/惡意軟體,但總是不能徹底清除?
A: 可能病毒/木馬/惡意軟體正在執行/被使用了,你可以試試在安全模式下用殺毒軟體/清理助手清除

Q: 如何清除Win32.Parite,W32/Pate,Win32.Pinfi?
A: 你可以使用BitDefender的Win32.Parite專殺,下載後,按"Scan"即可
http://buy.bitdefender.com/bd/downlo...iparite-en.exe

Q: 如何清除灰鴿子,huigezi,GPigeon,Hupigon,Pigeon,BackDoor-ARR ?
A: 請看 http://bbs.crsky.com/read.php?tid=279444&fpage=1

Q: 如何清除灰鴿子06,Backdoor.Gpigeon.2006 ?
A: 請看 http://bbs.crsky.com/read.php?tid=644670&fpage=1

Q: 如何清除Searchnet.exe (trojan-spy.agent.iw) ??
A: 請看 http://bbs.crsky.com/read.php?tid=465430&fpage=1

Q: 如何清除BDGuard.sys (Rootkit.Win32.Agent.bo/Rookit.Agent.bo) ?
A: 請卸載百度搜霸/百度超級搜霸,卸載方法:
http://www.baidu.com/search/sobar.html#11
Kaspersky已經不報BDGuard.sys,如果你的Kaspersky還是報,請更新到最新的病毒庫

Q: 我的首頁被369.com劫持.....
A: 請看 http://bbs.crsky.com/read.php?tid=686642

Q: 程式的圖標都變花了.....
A: 你應該中了Worm.Viking,除了可用殺毒軟體做全盤查殺,清除所有已感染的檔案外
你還可以試試用瑞星提供的Worm.Viking專殺工具

如果將來有其他病毒/木馬解決方法,都會加到這個索引

有關WINLOGON,LSASS,SMSS這系列的木馬
Dr.Web: Trojan.PWS.Wow
KAV: Trojan-PSW.Win32.Wow/Lmir
Symantec: Infostealer.Wowcraft

啟動項(其中之一):
TProgram
ToP
Torjan Program

工作(其中之一):
%WinDir%\WINLOGON.exe
%WinDir%\SMSS.exe
%WinDir%\LSASS.exe

檔案(包括不同的變種,不同的變種可能有不同):
%WinDir%\1.com
%WinDir%\SMSS.exe
%WinDir%\SERVICES.exe
%WinDir%\LSASS.exe
%WinDir%\WINLOGON.exe
%WinDir%\ExERoute.exe
%WinDir%\EXPLORER.com
%WinDir%\FINDER.com
%WinDir%\EXERT.exe
%WinDir%\IO.SYS.BAK
%WinDir%\Debug\DebugProgram.exe
%WinDir%\Shell.sys
%WinDir%\Winsock32.DLL.SCF
%System%\Anskya0.exe
%System%\Anskya1.exe
%System%\rundll32.com
%System%\finder.com
%System%\msconfig.com
%System%\dxdiag.com
%System%\regedit.com
%System%\command.pif
%System%\i.com
%CommonProgramFiles%\intexplore.pif
%CommonProgramFiles%\inexplore.pif
%CommonProgramFiles%\iexplore.pif
%ProgramFiles%\Internet Explorer\Intexplore.com
%ProgramFiles%\Internet Explorer\Inexplore.com
%ProgramFiles%\Internet Explorer\iexplore.com
%SystemDrive%\bootconf.exe
%SystemDrive%\command.com
%SystemDrive%\command.exe
%SystemDrive%\pagefile.pif
D:\command.com
D:\pagefile.pif

PS:
-%WinDir%是環境變數,一般Windows XP(Windows),2000(WINNT)
-%System%是環境變數,一般Windows XP,2000為System32
-%CommonProgramFiles%是環境變數,一般Windows都是Common Files(在%ProgramFiles%內)
-%ProgramFiles%是環境變數,一般Windows都是Program Files
-%SystemDrive%是環境變數,哪個Drive有%WinDir%,一般都是System Drive(eg. C:\)

修改註冊表:
-修改檔案關聯
-修改Shell = Explorer.exe 1
-修改Protocol (HTTP,FTP,telnet)
還有很多很多......

解決方法:
a) 使用空游標寫的針對WINLOGN系列木馬的批次處理
http://bbs.crsky.com/read.php?tid=684906

b) 使用由本人寫的Trojan.PWS.Wow Removal Tool (在附件)
已測試過的平台: Windows XP SP2
使用方法:
-必須已裝上Microsoft .NET Framework 2.0 or Higher
http://www.microsoft.com/downloads/d...d-aab15c5e04f5
-執行前請先關閉任何正在使用中的程序(eg. QQ.exe,IE等等) 和視窗(eg. "我的電腦"等等)
-執行 Trjwow_rem.com
-建議先用 Do a quick scan and save a logfile 產生報告給說明人員看看
%SystemDrive%\Search_WOW.log
-用 Destroy 就可以進行清除和修復檔案關聯,清除後會有報告產生出來
%SystemDrive%\Remove_WOW.log

十分感謝xbs,cyberarmy,我其他朋友進行測試!
雖然已經經過其他人測試,證明沒有問題,
但使用後如有任何問題,本人不會負責
如發現任何Exception error,可跟本人聯絡

v0.2 Build 0717
MD5: 29149565c72c20701352745678af6ce3

===========
17/07:
a) 5:34pm - 發現Bug + 新變種.....正在更新中,請暫時不要用Build 0716
b) 8:10pm - 更新到v0.2 Build 0717!可以移除多兩個木馬檔案,新增檔案關聯功能,修正部份問題

Q:

試過拉~無效啊
只找出一個mag_hook.dll 案例子其他的文件全搜尋不到~

專殺工具什麼也查不到~》

A:

O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\system32\SVCHOST.ini

這個應該就是鴿子啦，目錄與例子稍有不同，但方法一樣

C:\WINDOWS\system32\SVCHOST.ini
C:\WINDOWS\system32\SVCHOST.dll
C:\WINDOWS\system32\SVCHOST_hook.dll
C:\WINDOWS\system32\SVCHOSTkey.dll
把system32目錄的文件按時間排序，看看和SVCHOST.ini修改時間近似的是否還有類似名字的文件？如果沒有只要你移除了C:\WINDOWS\system32\SVCHOST.ini應該也就可以了

Q:
方法我早試過無用我懷疑那個 mag_hook.dll 刪掉後過幾秒又自己新增。

可是按例子都早不到EXE和其他DLL文件

mag_hook.dll是系統的那個什麼放大鏡功能。如果沒有我說的文件了，瑞星還報毒嗎？

A:

為了更好的解決你的問題，需要你配合提供更多的訊息
1）請下載此貼的工具SYSTEM REPAIR ENGINEER軟體，
2）解壓到硬碟（非開啟壓縮檔案後直接執行）後執行並使用裡面的智能掃瞄功能掃瞄系統，再將掃瞄結果儲存。
3）將儲存的報告開啟後，複製貼上裡面的內容以回覆內容的形式發上論壇你的求助貼處，以便分析問題。
友情提示：請不要在對分析結果作出建議繼續行任何修復操作。

2006-07-24, 01:14 AM	#37 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	【求助】Backdoor.Gpigeon.zlt Q: 瑞星殺完毒後重新啟動又會出現老說IE有毒 Logfile of HijackThis v1.99.1 Scan saved at 11:23:31, on 2006-7-21 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe E:\瑞星\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe E:\瑞星\Rising\Rav\Ravmond.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\spoolsv.exe E:\瑞星\Rising\Rav\RavStub.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe E:\瑞星\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe E:\瑞星\Rising\Rav\Ravmon.exe E:\騰訊QQ\QQ.exe E:\騰訊QQ\TIMPlatform.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.391\HijackThis.exe R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing) O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll (file missing) O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll O2 - BHO: Yahoo Bar - {F60FAB6F-115D-4797-9ED1-89793B930876} - C:\WINDOWS\ODBINT.dll (file missing) O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [RavTask] "E:\瑞星\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\RunOnce: [RavStub] "E:\瑞星\Rising\Rav\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: >>彩信傳送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm O8 - Extra context menu item: 上傳到QQ網路硬碟 - E:\騰訊QQ\AddToNetDisk.htm O8 - Extra context menu item: 增加到QQ自訂面板 - E:\騰訊QQ\AddPanel.htm O8 - Extra context menu item: 增加到QQ表情 - E:\騰訊QQ\AddEmotion.htm O8 - Extra context menu item: 增加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A O8 - Extra context menu item: 增加到雅虎訂閱(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT O8 - Extra context menu item: 用QQ彩信傳送該圖片 - E:\騰訊QQ\SendMMS.htm O9 - Extra button: Yahoo 3.5G電子信箱 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm...&btn=yahoomail (file missing) O9 - Extra button: 尋寶樂趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=taobao (file missing) O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm...ns&btn=yassist (file missing) O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing) O9 - Extra 'Tools' menuitem: 彩E精靈設定 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing) O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm...s&btn=yahoomsg (file missing) O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=repair (file missing) O9 - Extra 'Tools' menuitem: 修復瀏覽器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=repair (file missing) O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm...=cns&btn=clean (file missing) O9 - Extra 'Tools' menuitem: 清理上網記錄 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm...=cns&btn=clean (file missing) O11 - Options group: [!CNS] 網路實名 O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{59FC5D31-5F64-4DED-B3FF-F289E644BBA7}: NameServer = 202.102.152.3 202.102.154.3 O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rising\Rav\CCenter.exe O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rising\Rav\Ravmond.exe O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\system32\SVCHOST.ini A: 病毒救援一般病毒/木馬解決方法索引 (17/07更新) 以下是一些一般病毒/木馬解決方法 Q: 為什麼我的殺毒軟體/清理助手可查出病毒/木馬/惡意軟體,但總是不能徹底清除? A: 可能病毒/木馬/惡意軟體正在執行/被使用了,你可以試試在安全模式下用殺毒軟體/清理助手清除 Q: 如何清除Win32.Parite,W32/Pate,Win32.Pinfi? A: 你可以使用BitDefender的Win32.Parite專殺,下載後,按"Scan"即可 http://buy.bitdefender.com/bd/downlo...iparite-en.exe Q: 如何清除灰鴿子,huigezi,GPigeon,Hupigon,Pigeon,BackDoor-ARR ? A: 請看 http://bbs.crsky.com/read.php?tid=279444&fpage=1 Q: 如何清除灰鴿子06,Backdoor.Gpigeon.2006 ? A: 請看 http://bbs.crsky.com/read.php?tid=644670&fpage=1 Q: 如何清除Searchnet.exe (trojan-spy.agent.iw) ?? A: 請看 http://bbs.crsky.com/read.php?tid=465430&fpage=1 Q: 如何清除BDGuard.sys (Rootkit.Win32.Agent.bo/Rookit.Agent.bo) ? A: 請卸載百度搜霸/百度超級搜霸,卸載方法: http://www.baidu.com/search/sobar.html#11 Kaspersky已經不報BDGuard.sys,如果你的Kaspersky還是報,請更新到最新的病毒庫 Q: 我的首頁被369.com劫持..... A: 請看 http://bbs.crsky.com/read.php?tid=686642 Q: 程式的圖標都變花了..... A: 你應該中了Worm.Viking,除了可用殺毒軟體做全盤查殺,清除所有已感染的檔案外你還可以試試用瑞星提供的Worm.Viking專殺工具如果將來有其他病毒/木馬解決方法,都會加到這個索引有關WINLOGON,LSASS,SMSS這系列的木馬 Dr.Web: Trojan.PWS.Wow KAV: Trojan-PSW.Win32.Wow/Lmir Symantec: Infostealer.Wowcraft 啟動項(其中之一): TProgram ToP Torjan Program 工作(其中之一): %WinDir%\WINLOGON.exe %WinDir%\SMSS.exe %WinDir%\LSASS.exe 檔案(包括不同的變種,不同的變種可能有不同): %WinDir%\1.com %WinDir%\SMSS.exe %WinDir%\SERVICES.exe %WinDir%\LSASS.exe %WinDir%\WINLOGON.exe %WinDir%\ExERoute.exe %WinDir%\EXPLORER.com %WinDir%\FINDER.com %WinDir%\EXERT.exe %WinDir%\IO.SYS.BAK %WinDir%\Debug\DebugProgram.exe %WinDir%\Shell.sys %WinDir%\Winsock32.DLL.SCF %System%\Anskya0.exe %System%\Anskya1.exe %System%\rundll32.com %System%\finder.com %System%\msconfig.com %System%\dxdiag.com %System%\regedit.com %System%\command.pif %System%\i.com %CommonProgramFiles%\intexplore.pif %CommonProgramFiles%\inexplore.pif %CommonProgramFiles%\iexplore.pif %ProgramFiles%\Internet Explorer\Intexplore.com %ProgramFiles%\Internet Explorer\Inexplore.com %ProgramFiles%\Internet Explorer\iexplore.com %SystemDrive%\bootconf.exe %SystemDrive%\command.com %SystemDrive%\command.exe %SystemDrive%\pagefile.pif D:\command.com D:\pagefile.pif PS: -%WinDir%是環境變數,一般Windows XP(Windows),2000(WINNT) -%System%是環境變數,一般Windows XP,2000為System32 -%CommonProgramFiles%是環境變數,一般Windows都是Common Files(在%ProgramFiles%內) -%ProgramFiles%是環境變數,一般Windows都是Program Files -%SystemDrive%是環境變數,哪個Drive有%WinDir%,一般都是System Drive(eg. C:\) 修改註冊表: -修改檔案關聯 -修改Shell = Explorer.exe 1 -修改Protocol (HTTP,FTP,telnet) 還有很多很多...... 解決方法: a) 使用空游標寫的針對WINLOGN系列木馬的批次處理 http://bbs.crsky.com/read.php?tid=684906 b) 使用由本人寫的Trojan.PWS.Wow Removal Tool (在附件) 已測試過的平台: Windows XP SP2 使用方法: -必須已裝上Microsoft .NET Framework 2.0 or Higher http://www.microsoft.com/downloads/d...d-aab15c5e04f5 -執行前請先關閉任何正在使用中的程序(eg. QQ.exe,IE等等) 和視窗(eg. "我的電腦"等等) -執行 Trjwow_rem.com -建議先用 Do a quick scan and save a logfile 產生報告給說明人員看看 %SystemDrive%\Search_WOW.log -用 Destroy 就可以進行清除和修復檔案關聯,清除後會有報告產生出來 %SystemDrive%\Remove_WOW.log 十分感謝xbs,cyberarmy,我其他朋友進行測試! 雖然已經經過其他人測試,證明沒有問題, 但使用後如有任何問題,本人不會負責如發現任何Exception error,可跟本人聯絡 v0.2 Build 0717 MD5: 29149565c72c20701352745678af6ce3 =========== 17/07: a) 5:34pm - 發現Bug + 新變種.....正在更新中,請暫時不要用Build 0716 b) 8:10pm - 更新到v0.2 Build 0717!可以移除多兩個木馬檔案,新增檔案關聯功能,修正部份問題 Q: 試過拉~無效啊只找出一個mag_hook.dll 案例子其他的文件全搜尋不到~ 專殺工具什麼也查不到~》 A: O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\system32\SVCHOST.ini 這個應該就是鴿子啦，目錄與例子稍有不同，但方法一樣 C:\WINDOWS\system32\SVCHOST.ini C:\WINDOWS\system32\SVCHOST.dll C:\WINDOWS\system32\SVCHOST_hook.dll C:\WINDOWS\system32\SVCHOSTkey.dll 把system32目錄的文件按時間排序，看看和SVCHOST.ini修改時間近似的是否還有類似名字的文件？如果沒有只要你移除了C:\WINDOWS\system32\SVCHOST.ini應該也就可以了 Q: 方法我早試過無用我懷疑那個 mag_hook.dll 刪掉後過幾秒又自己新增。可是按例子都早不到EXE和其他DLL文件 mag_hook.dll是系統的那個什麼放大鏡功能。如果沒有我說的文件了，瑞星還報毒嗎？ A: 為了更好的解決你的問題，需要你配合提供更多的訊息 1）請下載此貼的工具SYSTEM REPAIR ENGINEER軟體， 2）解壓到硬碟（非開啟壓縮檔案後直接執行）後執行並使用裡面的智能掃瞄功能掃瞄系統，再將掃瞄結果儲存。 3）將儲存的報告開啟後，複製貼上裡面的內容以回覆內容的形式發上論壇你的求助貼處，以便分析問題。友情提示：請不要在對分析結果作出建議繼續行任何修復操作。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次