引用:

【兔子928的贴子】O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - D:\WINDOWS\G_Server.exe 帮我看看了 ...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html
http://endurer.bokee.com/2591241.html
重新启动到安全模式
停止并禁用服务：Gray_Pigeon_Server (GrayPigeonServer)

如果使用了系统还原功能, 请先关闭此功能。
卸载：多多QQ表情，百度超级搜霸
设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名
寻找如下文件:
D:\WINDOWS\G_Server.exe
D:\WINDOWS\G_Server.DLL
D:\WINDOWS\G_Server_dll.DLL
D:\WINDOWS\G_Server_Hook.DLL
D:\WINDOWS\G_Server_key.DLL

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。


清空IE临时文件夹

引用:

【天炽的贴子】朋友的机子好象有灰鸽子，不知道怎么解决，麻烦会的朋友帮忙看下，以下是日志：（其中我怀疑O23 - NT 服务: Internet_Server (InternetServer) - Unknown owner - C:\WINDOWS\IE_Server.exe这项是灰鸽子） ...........................

你干得很漂亮

O23 - NT 服务: Internet_Server (InternetServer) - Unknown owner - C:\WINDOWS\IE_Server.exe

这项很可疑，你可以查找灰鸽子的dll文件加以确认。

引用:

【营养棉花糖的贴子】晕好复杂啊，还是不知道怎么杀555 ...........................

你可以先尝试瑞星灰鸽子专杀工具。

如果不见效，请使用HijackThis扫描log发上来，方便大家分析。

引用:

【huang1986的贴子】我也中毒了，谁帮我看看呀!!! Logfile of HijackThis v1.99.1 Scan saved at 1:27:22, on 2006-1-23 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) ...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html
http://endurer.bokee.com/2591241.html
重新启动到安全模式
停止并禁用服务：
.Net Boot Service
Windows Print Controller (Universal Disk Manager)

如果使用了系统还原功能, 请先关闭此功能。
卸载：多多QQ表情，百度超级搜霸
设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名
寻找如下文件:

C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\big5_gb2312.exe
C:\WINDOWS\system32\big5_gb2312.DLL
C:\WINDOWS\system32\big5_gb2312_Hook.DLL
C:\WINDOWS\system32\big5_gb2312_key.DLL
C:\WINDOWS\system32\res.exe
C:\WINDOWS\system32\Update.exe
C:\WINDOWS\system32\SHELLEXT\svchst0.exe
C:\Program Files\Common Files\SAND\qqfacerclient.exe

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:\PROGRA~1\HBClient\hbhelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKLM\..\Run: [Update] C:\WINDOWS\system32\Update.exe
O4 - HKLM\..\Run: [res] C:\WINDOWS\system32\res.exe
O4 - HKLM\..\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows

O4 - HKLM\..\Run: [shoket] C:\WINDOWS\system32\SHELLEXT\svchst0.exe
O23 - Service: .Net Boot Service - Unknown owner - C:\WINDOWS\system32\big5_gb2312.exe
O23 - Service: Windows Print Controller (Universal Disk Manager) - COMENET TECHNOLOGY - C:\Program Files\Common Files\SAND\qqfacerclient.exe

清空IE临时文件夹

引用:

【DUYANGGANG的贴子】我也中毒了，谁帮我看看呀！ ...........................

你可以先尝试瑞星灰鸽子专杀工具。

如果不见效，请使用HijackThis扫描log发上来，方便大家分析。

我病毒地址在c:\Program Files\Internet Explorer\Iexplore.exe
可Iexplore.exe是程序!栓不了啊~~~不要重装系统啊~一栓就打不开网叶了/

求救啊版主  高手GG们````

我用工具总是查不出来啊 我也看不懂哪个是哪个
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 15:01:21, 日期 2006-1-26
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
d:\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Rising\Rav\RavStub.exe
d:\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\Rising\Rav\RavTask.exe
D:\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
F:\工具\HijackThis1991zww汉化版\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v11.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\Tencent\QQ\QQIEHelper.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [RfwMain] "d:\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "D:\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "d:\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - d:\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - d:\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://tomatolei.com (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D0A29C6C-AA71-4423-8C4A-5998B774C448} (IEDown Class) - http://download.ourgame.com/IEDown4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7FE63EE-B4AF-42D7-84A8-F659B782122F}: NameServer = 221.10.112.5 221.10.251.52
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\Ravmond.exe

可是的确有鸽子 而且在打开有些文件时 出现在C:\DOCUME~1\~\LOCALS~1\Temp\mc25.tmp或mc27.tmp~~反正是mcXX.tmp(在变就是了) 又删除不了~ 又找不到文件~~ 请搂住帮帮忙

我也中了Backdoor.GPigeon 怎么办?