Backdoor.Gpigeon.2006.bae瑞星病毒库里也找不到！请帮忙看一下 bbs.ikaka.com

中奖双色球 - 2007-2-4 10:54:00

感觉Backdoor.Gpigeon.2006.bae这个病毒很不爽。它是什么病毒？请高手帮忙指点一下。就是感觉机子上网比原来慢了。扫描的又需要修复的吗？谢了
以下是杀毒和监控的记录

病毒名称处理结果发现日期扫描方式路径文件病毒来源
Backdoor.Gpigeon.GEN 删除成功 2007-02-04 09:09 手动扫描 C:\System Volume Information\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP45 A0012285.exe>>himemys>>pe_patch(14)>>ASPack 2.12 本机
Trojan.Shutdowner.bn 删除成功 2007-02-04 09:09 手动扫描 C:\System Volume Information\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP46 A0012291.exe 本机
Trojan.Shutdowner.bn 删除成功 2007-02-04 09:09 手动扫描 C:\System Volume Information\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP46 A0012292.exe 本机
Backdoor.Gpigeon.GEN 删除成功 2007-02-04 09:28 手动扫描 C:\Documents and Settings\Administrator 1.exe>>himemys>>pe_patch(14)>>ASPack 2.12 本机
Backdoor.Gpigeon.GEN 删除成功 2007-02-04 09:28 手动扫描 C:\System Volume Information\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP46 A0012311.exe>>himemys>>pe_patch(14)>>ASPack 2.12 本机
Hack.PswCracker 删除成功 2007-02-04 09:29 手动扫描 D:\Program Files\eMule\Temp 008.part>> 本机

病毒名称处理结果发现日期扫描方式路径文件
Backdoor.SdBot.vfb 删除成功 2006-12-26 21:13 文件监控 C:\windows\system32 eraseme_55007.exe
Backdoor.SdBot.vfb 删除成功 2006-12-26 21:15 文件监控 C:\windows\system32 eraseme_81560.exe
Backdoor.SdBot.vfb 删除成功 2006-12-26 21:21 文件监控 C:\windows\system32 eraseme_55782.exe
Backdoor.SdBot.vfb 删除成功 2006-12-26 22:40 文件监控 C:\windows\system32 eraseme_53650.exe
Trojan.DL.VBS.Agent.cfl 跳过脚本 2006-12-31 20:52 网页/脚本监控 E:\eMule\Incoming .
Trojan.DL.VBS.Agent.k 跳过脚本 2006-12-31 20:52 网页/脚本监控 E:\eMule\Incoming
Trojan.DL.VBS.Agent.ceo 清除成功 2007-01-01 21:40 文件监控 C:\Documents and Settings\new\Local Settings\Temporary Internet Files\Content.IE5\CRSN6189 music[1].htm
Trojan.DL.VBS.Agent.ceo 跳过脚本 2007-01-01 21:40 网页/脚本监控 C:\DOCUME~1\new\LOCALS~1\Temp 138856702640.tmp
Backdoor.Gpigeon.2006.bae 重新启动计算机后删除文件 2007-01-20 19:38 文件监控 C:\windows svohost.exe>>nspack>>nspack
Backdoor.Gpigeon.2006.bae 删除成功 2007-01-20 19:38 文件监控 C:\windows svohost.exe>>nspack>>nspack
Backdoor.Gpigeon.GEN 删除成功 2007-02-03 20:46 文件监控 C:\windows ddker.com.cn.exe>>himemys>>pe_patch(14)>>ASPack 2.12
Trojan.Shutdowner.bn 删除成功 2007-02-03 22:04 文件监控 C:\Program Files\装机人员工具\自动填IP地址填写IP为192.168.0.158.exe
Trojan.Shutdowner.bn 删除成功 2007-02-03 22:04 文件监控 C:\Program Files\装机人员工具\自动填IP地址填写IP为192.168.1.158.exe
Backdoor.Gpigeon.2006.bae 删除成功 2007-02-04 09:43 文件监控 C: 2.exe>>nspack>>nspack

下面的是扫描结果
HijackThis_815汉化版扫描日志 V1.99.1
保存于 10:24:04, 日期 2007-2-4
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\windows\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\windows\system32\nvsvc32.exe
C:\windows\system32\scvhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rising\Rav\ScanBD.exe
C:\windows\system32\wuauclt.exe
D:\bingdu\shaomiao\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283}? - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file)
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O9 - 浏览器额外的按钮: (no name) - RsAutorunsDisabled - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB0EC619-9A7F-4E22-94AA-DC19431D33FA}: NameServer = 202.99.160.68 202.99.166.4
O23 - NT 服务: BRHH - Unknown owner - C:\windows\BRHH.exe
O23 - NT 服务: 监测硬盘驱动器信息配置.如果此服务被禁用,任何依赖它的服务将无法启动 (Logical Manager) - Unknown owner - C:\windows\system32\Logical.exe (file missing)
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - NT 服务: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: Windows User Mode Driver Frams - Unknown owner - C:\windows\system32\scvhost.exe

水树雨下 - 2007-2-4 11:03:00

怪系统还原，修复
O23 - NT 服务: Windows User Mode Driver Frams - Unknown owner - C:\windows\system32\scvhost.exe
重启后打开我的电脑，工具，文件夹选项，查看，显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉删除C:\windows\system32\scvhost.exe
然后扫sreng2日志
这个服务是不是你的O23 - NT 服务: BRHH - Unknown owner - C:\windows\BRHH.exe

万恶我为首 - 2007-2-4 11:06:00

灰鸽子（Huigezi、Gpigeon）专用检测清除工具
软件名称：灰鸽子（Huigezi、Gpigeon）专用检测清除工具
界面语言：简体中文
软件类型：国产软件
运行环境： /Win9X/Me/WinNT/2000/XP/2003
授权方式：免费软件
软件大小： 414KB
软件简介：由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端牵手版服务端
运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序，运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端牵手版服务端
下载地址：
http://www.366tian.net/soft/data/soft/875.html

如果上面的清除不了它，你试试用下面的2个软件来对付它（可能目前来讲是最好的的了）：
1.木马杀客 5.2 绿色特别版
http://www.52z.com/soft/5943.Html
经过漫长的测试及完善,木马杀客5.2面世了,新版分别设了电信,网通升级服务器.彻底解决了升级难的问题,由于近期灰鸽子木马的横行,故新版附带灰鸽子专杀工具完全查杀所有灰鸽子木马.更加强了对种类变种木马查杀力度.让木马无处遁形.采用剑马新图标,更美观.软件更加易用功能贴心,增加右键扫描.5.2将本着继续免费的原则让广大用户更加放心的使用.
http://www.mmsk.cn/

2.从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用。
这个是下载地址:
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法:
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是无法遁身的。开启的非法进程会以红色显示出来。
PS:在使用这个软件前，你最好先认真看一下帮助文档，这对你清除病毒有很好的帮助。
参考资料：我是子凡

中奖双色球 - 2007-2-4 11:07:00

好谢了我先试一下

hzgsldm - 2007-2-4 11:14:00

问以下一楼的，svchost。exe所有者是Unknown owner 的，就是不正常的，对吗？

水树雨下 - 2007-2-4 11:19:00

引用:

【hzgsldm的贴子】问以下一楼的，svchost。exe所有者是Unknown owner 的，就是不正常的，对吗？
………………

C:\windows\System32\svchost.exe正常文件
C:\windows\system32\scvhost.exe病毒

中奖双色球 - 2007-2-4 11:32:00

这样正常吗？修复后在目录里找不到scvhost.exe乐

中奖双色球 - 2007-2-4 11:34:00

修复后从扫了一遍....这次还有问题吗感谢了
HijackThis_815汉化版扫描日志 V1.99.1
保存于 11:13:07, 日期 2007-2-4
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\windows\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\windows\system32\nvsvc32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\windows\system32\wuauclt.exe
D:\bingdu\shaomiao\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283}? - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file)
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O9 - 浏览器额外的按钮: (no name) - RsAutorunsDisabled - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB0EC619-9A7F-4E22-94AA-DC19431D33FA}: NameServer = 202.99.160.68 202.99.166.4
O23 - NT 服务: BRHH - Unknown owner - C:\windows\BRHH.exe
O23 - NT 服务: 监测硬盘驱动器信息配置.如果此服务被禁用,任何依赖它的服务将无法启动 (Logical Manager) - Unknown owner - C:\windows\system32\Logical.exe (file missing)
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - NT 服务: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

瑞星卡卡安全论坛