瑞星卡卡安全论坛

瑞星查出Backdoor.Win32.Gpigeon.ar病毒，隐藏在IEXPLORE.EXE中，系统启动自动运行IEXPLORE.EXE，系统时间被改为2000年。

请求高人帮助分析一下，感激不尽！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)


附件: 5979302007923105303.txt

简单的话，把下面这个服务删除就可以了：
[GrayPigeon_ / GrayPigeon_][Stopped/Auto Start]
  <C:\WINDOWS\[D.S.T]><N/A>

下面这个入侵初始化动态链接库自启动注册表项的问题正在研究中：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL>  [Google]

要简单解决的话，用SRENG扫描工具删除下面这个服务就可以了：
[GrayPigeon_ / GrayPigeon_][Stopped/Auto Start]
  <C:\WINDOWS\[D.S.T]><N/A>

下面这个入侵初始化动态链接库文件自启动项的可疑文件正在分析中，貌似是谷歌工具条的什么DD：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL>  [Google]

多谢多谢，灰鸽子基本解决了。

那个GOEC62~1.DLL，我确实安装了不少google工具，但是在google文件夹里没有发现GOEC开头的dll文件，另外这两天总是弹出安全证书过期的对话框，一查是google的安全证书，不知道是和灰鸽子有关还是和这个有关！

引用:

【hangz的贴子】多谢多谢，灰鸽子基本解决了。 那个GOEC62~1.DLL，我确实安装了不少google工具，但是在google文件夹里没有发现GOEC开头的dll文件，另外这两天总是弹出安全证书过期的对话框，一查是google的安全证书，不知道是和灰鸽子有关还是和这个有关！ ………………

估计灰鸽子就是GOOGLE工具条捆绑带来的。
建议从控制面板中卸载GOOGLE工具条（需要先断开网络连接），然后把[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>的值项值修改为空（即删除C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL这个字符串，可能卸载GOOGLE工具条后能自动清理掉，但如果没有清理，就手工这么干一下）。
GOOGLE工具条完全可以灭掉，根本没啥用的说。