清除了灰鸽子新变种、几个广告程序

最新推荐文章于 2022-02-25 21:57:21 发布
最新推荐文章于 2022-02-25 21:57:21 发布
阅读量1.6k 收藏
点赞数
分类专栏: 系统安全 原创作品 系统维护 文章标签: webwork c service windows system server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1100527
版权

endurer 原创
2006-08-20 第1

一位网友的电脑,这两天瑞星开机扫描总报告发现Backdoor.Gpigeon.uql。如:
/------------
病毒名称 处理结果 发现日期 路径文件病毒来源
Backdoor.Gpigeon.uql 清除成功  2006-08-19 13:58 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本机
------------/

 使用HijackThis(可以到 http://endurer.ys168.com 下载)扫描log,发现几个可疑项:

/------------
Logfile of HijackThis v1.99.1
Scan saved at 21:51:03, on 2006-8-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:/WINDOWS/wincup/wincup.exe


O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/mmsass~1.dll

O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:/WINDOWS/SYSTEM32/stdup.dll

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:/PROGRA~1/baidu/bar/baidubar.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:/PROGRA~1/baidu/bar/baidubar.dll

O8 - Extra context menu item: >>彩信发送<< - res://C:/PROGRA~1/MMSASS~1/mmsass~1.dll/mms.htm

O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:/PROGRA~1/WinKld/WinKld.dll

O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:/WINDOWS/webwork/webwork.dll

O21 - SSODL: themeadp - {64274C93-3CE7-4663-9C8D-CD2DC8A3590B} - C:/WINDOWS/system32/themeadp.dll

O23 - Service: System Manage Server (managesrv) - Unknown owner - C:/WINDOWS/Server.exe

O23 - Service: WinWrCup - MsWinCup - C:/WINDOWS/wincup/wincup.exe

------------/

(下面的修复方法可参考:【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

卸载:百度超级搜霸、Vision、stdup、webwork

另外,winkld.dll是88Dog系列软件之“Windows日历(Winkalendar、阴历显示)”的文件,不过通过这种方式来加载/启动,估计也不是好东西,建议卸载。


停止并禁用服务:
/---------
System Manage Server (managesrv)
WinWrCup - MsWinCup
---------/

重启电脑到安全模式


用WinRAR找到:
/---------
C:/WINDOWS/Server.exe
C:/WINDOWS/system32/themeadp.dll
---------/
打包备份后删除。

删除文件夹:
/---------
C:/WINDOWS/webwork
C:/WINDOWS/wincup
---------/

关闭所有文件夹窗口,用HijackThis扫描并修复上面所列项目。

清空IE临时文件夹

kaspersky 将 C:/WINDOWS/Server.exe        报为 Backdoor.Win32.Hupigon.vx
Kaspersky 将 C:/WINDOWS/wincup/wincup.exe 报为 not-a-virus:AdWare.Win32.Boran.p

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一位网友的电脑疑似是中了Viking、灰鸽子
Purpleendurer@CSDN
03-22 3532
endurer 原创2007-03-22 第1版 今天收到一位网友的email,没说明电脑出现了什么问题,只有 HijackThis 的日志。在日志中发现如下可疑项:HijackThis_zww汉化版扫描日志 V1.99.1保存于      21:09:06, 日期 2007-3-21操作系统:  Windows XP SP2 (WinNT 5.01.2600)浏览器:    In
解决system用户自动启动iexplore.exe灰鸽子病毒
mfxue的专栏
06-09 2989
近日,开机时发现多了个IEXPLORE.EXE进程,而且是system用户,比较奇怪.查找msconfig里面的启动项和注册表里面的run项里面,甚至服务里面都没有, 查看该进程的启动目录为: C:/Program Files/Internet Explorer/IEXPLORE.EXE.   看来是有木马嵌入iexplore.exe进程运行了.查看任务栏管理器,发现一个很奇怪的现象, c
灰鸽子
yes_angel的博客
09-01 1527
灰鸽子( Huigezi)又叫灰鸽子远程控制软件,原本该软件适用于公司和家庭管理,但因早年软件设计缺陷,被黑客恶意使用,曾经被误认为是一款集多种控制方式于一体的木马程序。 毒 运行过程 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Ser
灰鸽子病毒手工清除方法[多图]
tgw2000的专栏
01-20 5658
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的变种。这个时候,就需要手工杀掉灰鸽子。    手
手工清除灰鸽子蠕虫病毒方法
11-10
主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。注意:为防止误操作,清除前一定要做好备份
电子商务支付(“灰鸽子”相关文档)共6张.pptx
11-14
电子商务支付(“灰鸽子”相关文档)共6张.pptx
截止2010年2月最各种主流灰鸽子专杀
02-04
灰鸽子相信大家都不陌生,我这里总结了目前各种版本的灰鸽子专杀,截止2010,主流的,都可以,别的不敢保证了,希望能帮到你!不要当肉鸡!
灰鸽子木马清除
01-29
灰鸽子木马清除
修改灰鸽子的启动画面
09-29
### 修改灰鸽子的启动画面 #### 知识点概览 - **灰鸽子软件简介** - **启动画面的概念及重要性** - **修改灰鸽子启动画面的方法与步骤** - **使用的工具:Restorator** - **注意事项** #### 灰鸽子软件简介 灰鸽子...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8876
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3342
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——闻应用
Jormungand_V的博客
02-21 6433
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1578
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2572
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4039
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4597
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
如何使用灰鸽子配置服务程序
最新发布
05-05
灰鸽子是一个远程控制软件,可以用于监控、管理远程计算机。如果您需要使用灰鸽子配置服务程序,可以按照以下步骤操作: 1. 下载并安装灰鸽子客户端软件。 2. 打开灰鸽子客户端软件,在左侧导航栏中选择“远程控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值