endurer 原创
2006-08-20 第1版
一位网友的电脑,这两天瑞星开机扫描总报告发现Backdoor.Gpigeon.uql。如:
/------------
病毒名称 处理结果 发现日期 路径文件病毒来源
Backdoor.Gpigeon.uql 清除成功 2006-08-19 13:58 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本机
------------/
使用HijackThis(可以到 http://endurer.ys168.com 下载)扫描log,发现几个可疑项:
/------------
Logfile of HijackThis v1.99.1
Scan saved at 21:51:03, on 2006-8-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/wincup/wincup.exe
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:/WINDOWS/SYSTEM32/stdup.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:/PROGRA~1/baidu/bar/baidubar.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:/PROGRA~1/baidu/bar/baidubar.dll
O8 - Extra context menu item: >>彩信发送<< - res://C:/PROGRA~1/MMSASS~1/mmsass~1.dll/mms.htm
O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:/PROGRA~1/WinKld/WinKld.dll
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:/WINDOWS/webwork/webwork.dll
O21 - SSODL: themeadp - {64274C93-3CE7-4663-9C8D-CD2DC8A3590B} - C:/WINDOWS/system32/themeadp.dll
O23 - Service: System Manage Server (managesrv) - Unknown owner - C:/WINDOWS/Server.exe
O23 - Service: WinWrCup - MsWinCup - C:/WINDOWS/wincup/wincup.exe
------------/
(下面的修复方法可参考:【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html)
卸载:百度超级搜霸、Vision、stdup、webwork
另外,winkld.dll是88Dog系列软件之“Windows日历(Winkalendar、阴历显示)”的文件,不过通过这种方式来加载/启动,估计也不是好东西,建议卸载。
停止并禁用服务:
/---------
System Manage Server (managesrv)
WinWrCup - MsWinCup
---------/
重启电脑到安全模式
用WinRAR找到:
/---------
C:/WINDOWS/Server.exe
C:/WINDOWS/system32/themeadp.dll
---------/
打包备份后删除。
删除文件夹:
/---------
C:/WINDOWS/webwork
C:/WINDOWS/wincup
---------/
关闭所有文件夹窗口,用HijackThis扫描并修复上面所列项目。
清空IE临时文件夹
kaspersky 将 C:/WINDOWS/Server.exe 报为 Backdoor.Win32.Hupigon.vx
Kaspersky 将 C:/WINDOWS/wincup/wincup.exe 报为 not-a-virus:AdWare.Win32.Boran.p