瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 我中Backdoor.Gpigeon.uql 怎么杀掉啊
tianqifeng - 2006-6-13 13:11:00
杀毒就显示清除成功
可是重启后还有
这可能是灰鸽子变种啊
是06年6月13日中的
恳求高人指点
怎么杀掉这个木马啊
710207 - 2006-6-13 13:15:00
瑞星是杀不掉它的!!!!!
在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。(均为隐藏文件 你需要将文件查看设置成显示全部文件 而且要取消掉隐藏受保护的操作系统文件 你才可以发现 )

一、清除灰鸽子的服务

2000/XP系统:

1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_server.exe”,点击确定,我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。
二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
要关掉系统还原 而且要断开网络 最好在安全模式下杀
mopery - 2006-6-13 13:18:00
http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来..
710207 - 2006-6-13 13:18:00
忘了,不好意思,还可以下载瑞星灰鸽子专用查杀工具
http://download.rising.com.cn/zsgj/GPDetect.exe



独孤豪侠 - 2006-6-13 13:20:00
引用:
【710207的贴子】瑞星是杀不掉它的!!!!!
在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。(均为隐藏文件 你需要将文件查看设置成显示全部文件 而且要取消掉隐藏受保护的操作系统文件 你才可以发现 )

一、清除灰鸽子的服务

2000/XP系统:

1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_server.exe”,点击确定,我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。
二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
要关掉系统还原 而且要断开网络 最好在安全模式下杀

...........................

不要误导别人.灰鸽子的文件名和服务名是没有固定的,这就是灰鸽子的出名之处.
你说的这个方法是可以杀鸽子,但这只是种方法,也不是所有鸽子都通杀的.
方法是死的,人是活的,不要追求某一个文件名.
我无邪 - 2006-6-13 13:23:00
我也认同这个看法,所以很多时候,一篇日志,胜过千言万语。
lansely - 2006-6-13 13:24:00
呵呵 扫个HJ看看吧 也许有变化呢
mopery - 2006-6-13 13:27:00
引用:
【我无邪的贴子】我也认同这个看法,所以很多时候,一篇日志,胜过千言万语。
...........................

太夸张了吧...
tianqifeng - 2006-6-13 13:54:00
这就是用HJ扫描过的
大侠指点一下


Logfile of HijackThis v1.99.1
Scan saved at 13:43:13, on 2006-6-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
G:\Rising\CCenter.exe
C:\WINDOWS\System32\svchost.exe
G:\Rising\Ravmond.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\Rising\RavStub.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
G:\Rising\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
G:\Rising\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
G:\Rising\Rav.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\迅雷下载\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v13.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\QQ\QQIEHelper.dll
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\Super Rabbit\MagicSet\haokanbar.dll
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\Super Rabbit\MagicSet\haokanbar.dll
O3 - Toolbar: BitComet工具栏 - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\BitTorrent\BitCometBar\BitCometBar0.6.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] ; C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SoundMan] ; SOUNDMAN.EXE
O4 - HKLM\..\Run: [StormCodec_Helper] ; "D:\暴风影音\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [DAEMON Tools] ; "G:\虚拟光驱\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RavTask] "G:\Rising\RavTask.exe" -system
O4 - HKLM\..\Run: [NeroFilterCheck] ; C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [stup.exe] ; C:\PROGRA~1\TENCENT\Adplus\stup.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] ; C:\WINDOWS\system32\bgswitch.exe
O4 - HKCU\..\Run: [Super Rabbit IEPro] D:\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
O4 - HKCU\..\Run: [NBJ] ; "D:\NERO\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: &使用迅雷下载 - D:\迅雷\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\迅雷\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://E:\MICROS~1\1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139452948525
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F28C5A2-B5EB-4568-B53A-16C19A33CD39}: NameServer = 202.97.224.69 202.97.227.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F28C5A2-B5EB-4568-B53A-16C19A33CD39}: NameServer = 202.97.224.69 202.97.227.138
O21 - SSODL: SysTrays - {590498A3-4131-4D8F-BA4B-36791A9803B1} - C:\WINDOWS\system32\DLMain.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BT.com (BTServer.exe) - Unknown owner - C:\WINDOWS\Hacker.com.cn.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - G:\Rising\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - G:\Rising\Ravmond.exe
O23 - Service: Windows XP Vista        - Unknown owner - C:\WINDOWS\Hacker.com.cn.ini
O23 - Service: windowssa - Unknown owner - C:\WINDOWS\wincodsxlk.exe
独孤豪侠 - 2006-6-13 13:57:00
O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\Hacker.com.cn.ini
O23 - Service: windowssa - Unknown owner - C:\WINDOWS\wincodsxlk.exe
O23 - Service: BT.com (BTServer.exe) - Unknown owner - C:\WINDOWS\Hacker.com.cn.exe
还真不少,
tianqifeng - 2006-6-13 14:01:00
恳请大侠告诉我怎么杀掉它啊
我不是很懂啊  拜托了
我的HJ扫描到这三个
具体怎么清除啊
谢谢
独孤豪侠 - 2006-6-13 14:02:00
你的另一个贴不是有人告诉你了吗??
tianqifeng - 2006-6-13 14:10:00
不好意思啊
问一个很白痴的问题
怎么打开注册表啊
我真的不是很懂啊
千恩万谢
轩辕小聪 - 2006-6-13 14:11:00
开始-运行,输入regedit按确定。
独孤豪侠 - 2006-6-13 14:12:00
开始---运行-----输入regedit----确定.
tianqifeng - 2006-6-13 14:15:00
万分感谢
感动万分
tianqifeng - 2006-6-13 14:46:00
你们 还在吗
这个东东你们谁能帮我看看是不是属于灰鸽子的
G_Server2006.exe 
我已按那个操作方法清除了
还想在问一下
我的HJ有很多UNKOWN OWNER 上面以显示
是不是都要把UNKOWN OWNER后面的文件删除啊
我无邪 - 2006-6-13 20:26:00
鸽子危害很大,建议你修复后,重启。
请下载 System Repair Engineer,使用“智能扫描”,按下“扫描”按钮进行扫描,扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完,分次粘完,请不要修改。
1
查看完整版本: 我中Backdoor.Gpigeon.uql 怎么杀掉啊
© 2000 - 2026 Rising Corp. Ltd.