Board logo

标题: [紧急求助,请各位帮忙,在线等30分钟吖]我的服务被停止,完全无法拖动/复制/粘贴等! [打印本页]
作者: 寄托天下    时间: 2005-11-19 12:01     标题: [紧急求助,请各位帮忙,在线等30分钟吖]我的服务被停止,完全无法拖动/复制/粘贴等!

昨天就是中了灰鸽子变种,杀除估计把操作系统给弄伤害了,今天开机,输入MMC根本开启不了服务,全部不见了!msconfig可以看见,全部打开重启之后照旧没用!@
请各位大大帮忙,在线等30分钟!否则只有重灌Xp了!晕!!
作者: rasis    时间: 2005-11-19 12:05

是不是exe后缀名被改了 改成COM试试 或者找个工具修复一下 upiea这个小工具还不错
作者: 寄托天下    时间: 2005-11-19 12:20

不是!估计是又中了类似冲击波的病毒!尚未证实,不过89不离10:只能复制-不能粘贴,移动等等!咔咔社区,KV论坛以及金山都有人反映这种症状!暂时还没有解决方案!得,赶紧重装算了!
我现在怎么这么背呢!!

[ Last edited by 光猪战士 on 2005-11-19 at 12:33 PM ]
作者: 寄托天下    时间: 2005-11-19 12:26

这是hijack进程反馈:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      12:24:42, 日期 2005-11-19
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\TOOLS\安全软件\瑞星\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\TheWorld\TheWorld.exe
D:\Hijack\HijackThis1991汉化版\HijackThis1991zww.exe

O3 - IE工具栏增项: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\Program Files\KV2006\KvShell.dll
O3 - IE工具栏增项: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tools\腾讯QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\NetTransport 2\NTAddLink.html
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tools\腾讯QQ\AddEmotion.htm
O10 - 未知的文件在 Winsock LSP: c:\program files\kv2006\kvsock_4.dll
O10 - 未知的文件在 Winsock LSP: c:\program files\kv2006\kvsock_4.dll
O10 - 未知的文件在 Winsock LSP: c:\program files\kv2006\kvsock_4.dll
O10 - 未知的文件在 Winsock LSP: c:\program files\kv2006\kvsock_4.dll
O10 - 未知的文件在 Winsock LSP: c:\program files\kv2006\kvsock_4.dll
O10 - 未知的文件在 Winsock LSP: c:\program files\kv2006\kvsock_4.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsof ... e.cab?1096088341547
O17 - HKLM\System\CCS\Services\Tcpip\..\{9635A720-78E9-45A6-A710-1CD8D7E05C60}: NameServer = 211.98.2.4,61.234.254.5
O23 - NT 服务: KVSrvXP - Jiangmin Co. Ltd - C:\Program Files\KV2006\KVSrvXP.exe
O23 - NT 服务: KVWSC - Jiangmin Co.Ltd - C:\Program Files\KV2006\kvwsc.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\TOOLS\安全软件\瑞星\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\TOOLS\安全软件\瑞星\RAV\Ravmond.exe
作者: TW越来越好    时间: 2005-11-19 12:45

。。。。。。。。。。。。
节哀顺变
作者: zhchgao    时间: 2005-11-19 12:58

重装吧,这是最好的办法,别忧虑了,也别做治标不治本的事了。节约时间,立即重装。
作者: aych    时间: 2005-11-19 13:51

平时做好备份盘,需要时GHOST只需几分钟!
作者: 寄托天下    时间: 2005-11-19 13:53

刚刚一咬牙,TNND,把机器拆了洗干净,连键盘都用洗衣粉洗了,现在还泡脸盆里面!用另外的机器上网真的没我的顺手啊!不多说了,重做系统,谢谢各位大大~~~待会儿见~~~
作者: TW越来越好    时间: 2005-11-19 14:22

我的键盘用了5年,每年都要用洗衣粉洗用刷子一个个键刷。。。
作者: rasis    时间: 2005-11-19 14:48

竟然瑞星和KV一起用  安装一个杀软就可以了
作者: 小絮    时间: 2005-11-19 19:20

Originally posted by TW越来越好 at 2005-11-19 02:22 PM:
我的键盘用了5年,每年都要用洗衣粉洗用刷子一个个键刷。。。

现在还用手洗?太落后啦!以后拿过来,我帮你丢到洗衣机里面搅一下。现在都是现代化的机器社会了,还用自己动手,真土!
作者: 寄托天下    时间: 2005-11-19 20:15

三月飞絮,你猜我今天安装了多少次操作系统???
6次操作系统!!!

安装哪些杀毒和查杀木马软件???
kv2006,咔吧斯基,瑞星,金山,诺顿,熊猫,木马克星,Ewindo,天网,江民反黑,瑞星防火墙,金山防火墙,冰盾,费尔防火墙以及咔吧斯基的防火墙!


晕迷!!这个鸽子变种实在太强悍了,我现在根本不敢打开其他被感染的硬盘,最后只有在完全不调用其他硬盘程序的情况下安装了SSM和加入阻止灰鸽子IP包的天网才安心一些!

小生已经证实:此变种无法手工清除:调用了一个DLL钩子,注册表删除毫无作用,在c:\windows下面自动生成messange.exe文件!上网搜索有人说只要删除就OK,根本解决不了:刚刚删除马上诞生!在服务里面关掉gpig程序也无作用!咔咔社区已经有人中了这种木马,看来倒霉的不是我一个!!!瑞星,KV和金山社区都暂时没有完美解决方案!靠!

希望论坛的兄弟们小心~~真的浪费我一天时间!TNND,造这个木马的人不得好死!真不是人啊~
作者: 寄托天下    时间: 2005-11-19 20:39

晕,今天耗在这种毫无意义的事情上真的让我火大,不说了。吃饭去~
作者: vikdt    时间: 2005-11-19 22:07

光猪战士,能详细说一下"在c:\windows下面自动生成messange.exe文件!"这个问题吗?因为,我发现我的c:盘也是这样的会出现一个messange.exe文件!!!

刚才我看你说你装了那么多杀软笑了半天,后来看到这一句,再到C盘一看,我现在差点要哭了.

你的问题是否解决?怎么解决的? 我用的是norton internet security 2005,也有开liveupdate,怎么会中毒了都没反应?前两天我才全面杀毒过的.
作者: 寄托天下    时间: 2005-11-19 22:23

情况是这样,该程序自动在c:\windows下面生成messanger.exe程序,无论怎么删除,等2秒钟又自动出来了!用hijack查看023部分对KV2006,瑞星都进行了感染!进入msconfig发现多了执行部分,均为c:\windows\messanger.exe,去掉勾,然后确定,再次进入msconfig发现去掉的勾勾又勾选上了;我然后进入注册表,找到网上有些网友提供的game键值,查找,无效,然后发现在localmachine里面多了一个GPC键值。删除,在刷新,又出来了,然后转到user的run,localmachine的run,里面也有messanger.exe和*messanger.exe两个键值,删除,刷新,还是无效;最后光猪来到服务,找GPC(也就是灰鸽子启动的服务,关闭),看regedit里面的messanger能否删除:照旧以失败而告终!!!最后火冒三丈,猪猪安装了SSM,现在反正有是有,不让他发作而已!希望坛子里面的朋友不要有光猪这么背!
再次强烈谴责这些制造木马病毒的孙子!
作者: vikdt    时间: 2005-11-19 22:44

完蛋~了~我也中标了~
作者: 寄托天下    时间: 2005-11-19 22:45

吐血了!真的中了耶,我晕死了!赶紧用SSM阻止吧!
作者: vikdt    时间: 2005-11-19 22:49

ssm是个什么啊?

今天真想哭啊,天啊!
作者: 寄托天下    时间: 2005-11-19 22:49

 你先用瑞星的专杀鸽子程序试试:
http://it.rising.com.cn/service/technology/Ravgpk_Download.htm
 最新System Safety Monitor (SSM)2.0.0.550β更新

  SSM软件简介:

  [color="#FF0000"]SSM是一款对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,系针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突的。该软件获得了WebAttack的五星编辑推荐奖,十分优秀!到目前为止,该软件仍是免费的。 !!!

  http://www.hanzify.org/UpFiles/Images/2005-10-09_193951.jpg

  【平台兼容】:

  9X/NT/2K 95% - 经长期测试及网友反馈的信息,[color="#FF0000"]SSM在16/32位混合系统下没有在纯32位系统下稳定,64位未作测试,不明

  XP及以上 100%

  【功能特性】:

  · 可控制机器上哪些程序是允许执行的,当待运行程序被修改时,会报警提示;

  · 可控制“DLL注入”以及键盘记录机对特定系统函数的调用;

  · 可控制驱动程序的安装(包括非传统方式的驱动型漏洞-Rootkits);

  · 可控制诸如存取"\Device\PhysicalMemory"对象这类底层活动;

  · 可阻止未经认可的代码注入,从而使任何程序都无法插入到合法的程序中以进行有害的活动;

  · 可控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动,如:您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动;

  · 可在双模式中任选其一,用户模式或管理员模式:管理员模式可设定首选项并加以密码保护防止被更改,而用户模式不能更改任何设定;

  · 可监控安装新程序时注册表重要分支键的更改,受保护的注册表分支键被尝试更改时将阻止或报警;

  · 可管理自启动项目、当前进程等,另外提供了服务保护模块,用以**已安装的系统服务,当新的服务被添加时,会报警提示;

  · 可(实时)**"启动菜单"、"启动INI文件分支",以及IE设定等;

  · 可通过标题黑名单过滤器阻止打开指定的窗口或者网页,如:添加“**”关键词至黑名单,则“**图片”、“**文学”等色情站点将无法打开,兼当反黄卫士;

  · 支持外挂任一调试器、反病毒软件等,且该软件的扩展功能均采用外挂插件形式实现,因此极易得到丰富的扩充;

  · 本身作为服务加载,通过配置、修改可以实现隐秘的进程反杀能力。

  [color="#FF0000"]SSM的上述强大功能为木马防范乃至整个系统的全面监控提供了绝佳的解决方案,但其使用上应该算是『Easy2Use,Hard2Master-易上手、难驾驭』,总体来说是一款偏向高端的安全软件。狐狸少爷测试了多款木马、键盘记录机等对自己的机器进行攻防实训,均被其成功截获,其底层防御能力相当令人满意!

  更新历史:

  System Safety Monitor, version 2.0.0.549 beta 1

  新增对UniCode的支持(请不要继续使用以前的配置文件了),正式加入德语模块,新增/修正若干功能特性,新增/更改若干界面特性。上版颇受诟病的“错误代码4”在这版得到了修正,WinME、WinXPSP2测试通过,的确不再出现了^_^

  下载:http://www.hanzify.org/?Go=Show::List&ID=9237

  应用:http://bbs.366tian.net/viewthrea ... %2BSafety%2BMonitor

  

[ Last edited by 光猪战士 on 2005-11-19 at 10:54 PM ]
作者: 寄托天下    时间: 2005-11-19 23:03     标题: 看图,TW被感染!

这是现在感染世界之窗浏览器后调用的灰鸽子DLL,被SSM阻止了!病毒被捂着,暂时不发作而已!吐血!
作者: 寄托天下    时间: 2005-11-19 23:03     标题: 看图,TW被感染!

这是现在感染世界之窗浏览器后调用的灰鸽子DLL,被SSM阻止了!病毒被捂着,暂时不发作而已!吐血!
作者: zhuangv    时间: 2005-11-19 23:16

我以前也查到在c:\windows有messanger.exe个东东的
用新版的超级兔子可以清除的
作者: 寄托天下    时间: 2005-11-19 23:21

zhuangv兄,如果只是单单清除这么简单就好了,这个程序挂了若干的钩子,连专业杀毒和清除木马程序都没有办法,超级兔兔估计也是做了些表面的东西!呵呵
作者: zhuangv    时间: 2005-11-20 00:01

看来是我中毒较轻
至少没有发现什么异常进程
侥幸侥幸呵呵
作者: 小絮    时间: 2005-11-20 00:03

Originally posted by 光猪战士 at 2005-11-19 08:15 PM:
三月飞絮,你猜我今天安装了多少次操作系统???
6次操作系统!!!


今天才安装6次操作系统,小CASE,那老猪你是否知道我这两天安装了多少次操作系统?????
昨天上午:win2K,一次;winXP,2次。  下午:winXP,1次。
今天:winXP,2次;win2K,3次!!!!!!!!!!!(好像不止)

TNND,我装得更火爆,恨不得把机子砸了。不过是帮朋友弄的,在人家面前还是得装作斯文点。唉,老机子了,硬盘有了坏磁道,其它线路接触又不怎么好,更气愤的是打印机又不配合,害得我以为那张xp安装盘有问题,又换了一张重装。不过最后还是给弄好了,为朋友省了一笔升级费用。花了我整整两天时间啊,不知道值不值。
作者: 小絮    时间: 2005-11-20 00:15

Originally posted by 光猪战士 at 2005-11-19 08:15 PM:
安装哪些杀毒和查杀木马软件???
kv2006,咔吧斯基,瑞星,金山,诺顿,熊猫,木马克星,Ewindo,天网,江民反黑,瑞星防火墙,金山防火墙,冰盾,费尔防火墙以及咔吧斯基的防火墙!


老猪,我这里还有个北信源VRV杀毒的绿色版,可升级,你要不?不错哦,蛮好用的,有时候kv查不出来的它能查出来。
听说F-Secure的安全套装很牛,杀软排第三,防火墙排第一。听说而已,没用过,不知道效果如何。你可以试试,看看好用不,如果效果好的话我也跟着用,(听说难卸载,所以我不当这个小白鼠。)
费尔的杀软也可以啊,但没有注册码,可惜。
作者: TW越来越好    时间: 2005-11-20 00:18

外行。
看热闹。。。
作者: caten    时间: 2005-11-20 00:54

没中  表示同情............
作者: 寄托天下    时间: 2005-11-20 01:08

Originally posted by 三月飞絮 at 2005-11-20 12:03 AM:


今天才安装6次操作系统,小CASE,那老猪你是否知道我这两天安装了多少次操作系统?????
昨天上午:win2K,一次;winXP,2次。  下午:winXP,1次。
今天:winXP,2次;win2K,3次!!!!!!!!!! ...


咋不用克隆版本的XP和win2000那?番茄有这个版本的,下次刻录一张免得麻烦撒!嘿嘿!!偶幸亏都是克隆的光盘,安装起来稍微快点~呵呵
呃,想睡觉了,尚在坛子上面的朋友,祝大家晚安,光猪卧倒了~~~
作者: 寄托天下    时间: 2005-11-20 01:14

三月兄台推荐的最新版F-Secure Anti-Virus Clientversion 5.57中文版
最新版F-Secure Anti-Virus Client Security version 5.57 中文版  下载地址http://www.f-secure.com/anti-vir ... 11400/fsavcs557.exe非汉化版,,为官方中文版
附件是注册KEY

[ Last edited by 光猪战士 on 2005-11-20 at 01:27 AM ]
作者: 寄托天下    时间: 2005-11-20 01:28

有人反映:AVK和F-Secure 死机是很常见的.....^_^
作者: AnyName    时间: 2005-11-20 03:06

不要太迷信杀毒软件,打补丁才素王道!
作者: vikdt    时间: 2005-11-20 03:57

在跟那两个messanger.exe搏斗了N次后我彻底认输了,根本删不掉!

另外,瑞星的那个灰鸽子专杀在我机器上居然打不开,我按照网页上说的自己找了一下,应该没有中,就有这两个messanger.exe.

看了前面两位装一次xp的样,真让人害怕,我虽然有xp.gho,但是我不能保证我在备份时没有中毒,所以真倒霉啊我!!!!

这个东西最好别中,中了就跟中**多钱了似的,搞得人都睡不了!!!

55555
作者: 寄托天下    时间: 2005-11-20 11:34

vikdt兄,你现在最好是格式化C重装,把SSM安装到C盘!不使用任何其他盘的情况下ghost一个,可以暂时缓解!我是无话可说了!



欢迎光临 世界之窗论坛 (http://bbs.theworld.cn/) Powered by Discuz! 7.2