求助calc.exe病毒

显示全部楼层 · 发表于 2007-9-30 21:21:17

今日卡巴6报出calc。exe病毒尝试查杀后，系统重启。反复尝试无果，安全模式下查不出病毒。
上网查询后得知是灰鸽子病毒，下载专杀未发现病毒，郁闷

而且卡巴还老弹出对话框内容如下：检测到键盘，程序尝试改变键盘输出。

显示全部楼层 · 发表于 2007-10-1 21:35:57

安全模式下查询calc相关文件，先结束该进程，再全部强行删除，进入注册表删除相应项
网上有很多杀鸽子文章，可以去看看，本质都一样
现在鸽子工作室已关，流传的版本都是加壳，加花而已
第一次发帖

显示全部楼层 · 发表于 2007-10-1 21:52:07

先用这个：“灰鸽子”专用检测清除工具
下载地址：http://download.rising.com.cn/zsgj/GPDetect.exe

没用在使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\mxaman.dll
c:\windows\system32\tcpipdog0.dll
c:\windows\system32\mssql.dll
c:\windows\system32\qhepri.dll
c:\windows\system32\winforma5.dll
c:\windows\system32\ztmpri.dll
c:\program files\common files\microsoft shared\msinfo\rejoice45.exe
c:\program files\common files\microsoft shared\msinfo\msnetls.exe
c:\windows\system32\drivers\1d3opck.sys
c:\windows\system32\drivers\znmfuaemu3.sys
e:\123\外挂\zenx.sys
e:\1.75劲舞大师最新全模式超强版\hknm.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{D1351752-5628-1547-FFAB-BADC13512AFD}] <C:\WINDOWS\system32\ztmpri.dll>
[{1231A43A-1642-641A-64FD-146ADAB223B1}] <C:\WINDOWS\system32\mxaman.dll>
[{A12BC423-3713-224D-3F55-32B35C62B11A}] <C:\WINDOWS\system32\WinFormA5.dll>
[{56368135-64FA-BC34-DA32-DCF4FD431C95}] <C:\WINDOWS\system32\qhepri.dll>
注意该项[AppInit_DLLs]修改：把<mxaman.dll>修改为<>即清空

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[B302EC43 / B302EC43] <>
[P4P Service / P4P Service] <>
[Windows优化大师注册机 / Windows优化大师注册机] <C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice45.exe>
[winnetsspdserver / winnetsspdsvc] <C:\Program Files\Common Files\Microsoft Shared\MSINFO\msnetls.exe>

启动项目－－服务－－驱动程序之如下项删除：
[1d3opc / 1d3opck] <\SystemRoot\System32\DRIVERS\1d3opck.sys>
[znmfuaemu3 / znmfuaemu3] <\??\C:\WINDOWS\system32\drivers\znmfuaemu3.sys>
[zenx1 / zenx1] <\??\E:\123\外挂\zenx.sys>
[jdy#hook / jdy#hook] <\??\E:\1.75劲舞大师最新全模式超强版\hknm.sys>
[zenx1 / zenx1] <\??\E:\123\外挂\zenx.sys>

系统修复－－　浏览器加载项之如下项删除：
[Microsoft Office Outlook] <>
[Microsoft Outlook 8.0 Object Library] <>
[WEBChatRoomOCX Control] <>

SREng,“系统修复”->“Winsock 供应者”,点击“重置所有内容为默认值”，弹出警告对话框，点击“确定”出现“请问是否继续使用 Winsock 提供者重置功能？”，点击“是”

如果提示操作失败则用下列工具修复
Winsockfix （新手慎用）
说明：Winsock修复工具，作者是Option^Explicit Software。可修复Layered Service Provider（LSP），同时恢复hosts到默认状态。
下载页面：http://www.spychecker.com/download/download_winsockxpfix.html

Quote:
Lspfix  （新手慎用）
说明：Winsock2修复工具，修复Layered Service Provider（LSP）。
下载：http://www.cexx.org/lspfix.exe
下载页面：http://www.cexx.org/lspfix.htm

Quote:
金山 LSP 修复工具  （新手慎用）
说明：修复 WinSock2 注册表键值破坏以后造成的 TCP/IP 协议不能正常工作问题。适用于用户中了一些广告软件或流氓软件导致的无法上网现象
下载页面：http://db.kingsoft.com/download/3/248.shtml
记得修复文件关联
.CHM  Error. ["hh.exe" %1]
.HLP  Error. [C:\WINDOWS\system32\winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.TXT  Error. [C:\WINDOWS\notepad.exe %1]

[ 本帖最后由 elric8 于 2007-10-1 21:55 编辑 ]

显示全部楼层 · 发表于 2007-10-2 10:30:22

谢谢大家的帮助，我目前已经解决了。不过不是用专杀，我用金山瑞星的专杀根本检测不出来，安全模式也一样，卡巴也一样，木马克星也不行
后来下载了一个windows清理大师URL
http://www.arswp.com/download/arswp/arswp.rar
才发现了灰鸽子的服务删除了就没事了。^_^

关于卡巴还老弹出对话框内容如下：检测到键盘，程序尝试改变键盘输出。是我在用冰刃