Board logo

标题: [病毒查杀] Trojan.PSW.QQRobber.16.f 病毒 [打印本页]

作者: shillan    时间: 2006-1-10 12:27     标题: Trojan.PSW.QQRobber.16.f 病毒

一、软件清除

灰鸽子专杀v0.4下载:[下载地址1][下载地址2][本地下载]

灰鸽子专杀简介:本工具为纯绿色专杀,已经过严格测试可查杀所有版本的灰鸽子木马,备用本工具可以让您免受灰鸽子木马的困饶,请尽量在本站提供的地址下载

木马杀客是本站原创的反病毒工具,软件采用杀毒引擎辨别特征码和传统病毒库辨别。软件可查杀密码偷窃类木马、qq尾巴类木马、冰河类木马、网游盗号类木马、完全查杀灰鸽子类木马、及各种未知木马、病毒、蠕虫、后门、黑客程序等。木马内置内存监控及注册表监控功能,木马感染内存及修改注册表启动等都将被监控查杀。软件支持在线升级。

其他功能:网络连接状态、启动项目查看及管理、内存监控、软件卸载、注册表备份及修复、右键扫描、灰鸽子专杀。版本不断更新中......


如果还不行,可下载以下软件查杀之:木马杀客 v5.2 build 1225

安装版:
http://www.sf120.net/soft/setup.exe
http://dx.mmsk.cn/setup.exe

绿色版:
http://www.sf120.net/soft/setup.rar
http://dx.mmsk.cn/setup.rar

二、手动清除

     本人一向注意保护系统安全,漏洞补丁,升级杀软,安装维护软件,一年来没有出现什么问题,可是近期却出现怪事一桩,每次开机,瑞星都会自动查到两个病毒,病毒名为trojan.psw.qqrobber.16.f 被感染文件为c:\windows\system32\ranx.dll和c:\windows\system32\god.sys ,并提示说删除成功后,我重新启动电脑,这种状况依然存在。这让我非常郁闷,不过凭着几年来的经验,我根本没有把这当回事,心想10分钟绝对搞定。但结果却不是这样。以下提供我的杀毒全过程:
1、升级杀毒软件,安全模式下杀毒,显示已经被清除。重新启动计算机,问题依旧。
2、拔掉网线,启动计算机,提示病毒已经被删除,接着进行全面扫描,没有发现病毒。重新启动计算机,问题依旧。虽然问题没有解决,但是可以肯定这是开机就加载运行的一个程序。
3、在“运行-msconfig-启动”中把关于瑞星的前边的勾全部去掉,重启机器到安全模式,扫描并杀毒两个,再重新启动计算机,但问题依旧。其实做这一步来自于对瑞星的过高期望,之前都是开机时瑞星自动检测到病毒并清除,我估计那只是做了简单的处理,也许使用“启动杀毒软件-杀毒”这样的方法会更加正式一些,得到的结果也会更加好一些,现在看起来当初的想法倒是真的很愚蠢,希望大家别见笑。
4、没有办法,换杀毒软件吧,我马上卸载了瑞星,换上江民,没有解决问题;卸载江民,安装金山,问题依旧。我不喜欢卡巴,所以没有用,但是估计一样也无能为力,希望大家也试试,有结果告知一下子。
5、下载专杀工具吧,我先后下载了有20个专杀工具(包括木马专杀),没有解决问题,倒是找到了机子上存在的其他木马(看来自信不是什么好事情)。

      到了这一步,我想过重新做系统,但是想想代价太高,因为机器上文件太多,也有一些程序当初也没有备份安装文件,失去了就难以找回。

     百度一下吧,上网看了看,中标的朋友们还真的不少,所以我更加坚定要解决问题。百度里的结果有三种。
    一、只有提问,没有应答。
    二、有提问,回答说解决不了。
    三、瑞星专家要求大家用hijackthis扫瞄logfile,把内容贴上去分析,但是最终的处理办法我没有看到。


     于是我决定细细观察一下windows下的所有文件,这个过程花费我3个小时不止,超过了重新做一个和以前一样系统的时间。

1、发现问题如下:windows文件下多一个文件bitcomet server1.2.exe;安全模式下删除。
2、在dos(开始-运行-cmd-回车)下运行开始以下命令:
dir c:\windows\*.exe
发现文件g_server2.0.exe,运行:del g_server2.0.exe删除之。
3、在注册表(开始-运行-regedit)中搜索god.sys和ranx.dll,发现以上含以上健值的子项,并在其左侧的相关路径中发现hkey_local_machine\system\currentcontrolset\services\vanti,直接删除vanti项目。
4、重新启动计算机,发现问题解决。


     总结以上过程,并结合网友观点,概括trojan.psw.qqrobber.16.f病毒清除方法:
     1、在注册表删除hkey_local_machine\system\currentcontrolset\services\vanti中的vanti项。
     2、在hkey_local_machine\system\currentcontrolset\services分支下删除nserver分支和waierver分支。
     3、到hkey_local_machine\software\microsoft\windows\currentversion\run,hkey_local_machine\software\microsoft\windows\currentversion\runservices,hkey_current_user\software\microsoft\windows\currentversion\run和hkey_local_machine\system\currentcontrolset\services中看看有没有关于god.sys和ranx.dll这样的值,有则删除。
    4、关闭系统还原,重启进入安全模式,显示所以文件、显示隐藏文件和受保护的系统文件(工具,文件夹选项)。看看windows文件下是否多一个文件bitcomet server1.2.exe,在安全模式下删除。
    5、在dos(开始-运行-cmd-回车)下运行开始以下命令:dir c:\windows\*.exe
       如果发现文件syspare.exe、g_server.exe、g_server2.0.exe或者以svchost_开头的.exe文件,均运行del 文件名.exe删除。
    6、查看c:\windows\system32和c:\windows\system下是否有god.sys和ranx.dll文件,有则删除;
 7、c:\windows下是否有:nbaser.dat、nbaser.exe、wans.dat、wans.exe。

注:打开注册表、关闭系统还原、进入安全模式、显示文件等如果不会,可看这个帖子http://forum.ikaka.com/topic.asp?board=67&artid=6789825
作者: blackcap    时间: 2006-1-20 13:22

backdoor.gpigeon.tx  我的瑞星老是提示有这个病毒 而且每次开机 都有一个 iexplore 的进程  用户名是system 杀毒后 消失~
杀毒结果也是 c:\program files\internet explorer\iexplore.exe  而且是在内存中  怎么杀啊?
救救我吧
俺都快疯了!!
作者: shillan    时间: 2006-1-20 17:48

下面引用由blackcap发表的内容:

backdoor.gpigeon.tx  我的瑞星老是提示有这个病毒 而且每次开机 都有一个 iexplore 的进程  用户名是system 杀毒后 消失~
杀毒结果也是 c:\program f...

木马杀客 v5.2 build 1225

安装版:
http://www.sf120.net/soft/setup.exe
http://dx.mmsk.cn/setup.exe

绿色版:
http://www.sf120.net/soft/setup.rar
http://dx.mmsk.cn/setup.rar
试过吗?
作者: zhangyand1    时间: 2006-1-20 18:21

kankan a a a a a
作者: blackcap    时间: 2006-1-21 23:55

杀客好使  谢谢 !!!
成功解决问题了  哈哈
还有一个问题要问  qq总是在 c:\program files\  下 自动建立一个文件夹~
名字 叫什么记不大清了  addr什么的  里面一共6个 文件 iehelp.dll  qahook.dll  runner.exe  等等 在正常启动 是 是无法 删除的 只有在 安全模式下才可以  我不知道 是什么 但删了又出来 ~还总是要 改我得注册表 我估计是木马  可是 瑞星和杀客 统统没有反应~!
作者: shillan    时间: 2006-1-23 13:44

下面引用由blackcap发表的内容:

还有一个问题要问  qq总是在 c:\program files\  下 自动建立一个文件夹~
名字 叫什么记不大清了  addr什么的  里面一共6个 文件 iehelp.dll  qahook.dll  runner.exe  等等 在正常启动 是 是无法 删除的 只有在 安全模式下才可以  我不知道 是什么 但删了又出来 ~还总是要 改我得注册表 我估计是木马  可是 瑞星和杀客 统统没有反应~!

去年就知道这个了,是qq的“地址栏搜索插件”,我安装qq时把这个去掉了,所以没有出现这个。

相关信息:
http://forum.ikaka.com/topic.asp?board=33&artid=7212572&page=1
http://bbs2.qiandao.net/viewthread.php?tid=74649
作者: ypf22546864    时间: 2006-11-17 01:49

这个就是灰鸽子吗

我中了好久了,都没离他

也没什么啊




欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) Powered by Discuz! 7.2