【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志

hangz 初生襁褓狮帖子:5 注册: 2005-10-12 来自:	发表于： 2007-09-23 11:03 \| 只看楼主短消息资料字号：小中大 1楼【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志瑞星查出Backdoor.Win32.Gpigeon.ar病毒，隐藏在IEXPLORE.EXE中，系统启动自动运行IEXPLORE.EXE，系统时间被改为2000年。请求高人帮助分析一下，感激不尽！ [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727) 附件: 文件名:5979302007923105303.txt 下载次数:111 文件类型:application/octet-stream 文件大小: 上传时间:2007-9-23 11:03:51 描述: 2007-09-23 12:11:53.857000000
hangz 初生襁褓狮帖子:5 注册: 2005-10-12 来自:	分享到：

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2007-09-23 11:08 \| 短消息资料字号：小中大 2楼简单的话，把下面这个服务删除就可以了： [GrayPigeon_ / GrayPigeon_][Stopped/Auto Start] <C:\WINDOWS\[D.S.T]><N/A> 下面这个入侵初始化动态链接库自启动注册表项的问题正在研究中： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL> [Google]
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2007-09-23 11:11 \| 短消息资料字号：小中大 3楼要简单解决的话，用SRENG扫描工具删除下面这个服务就可以了： [GrayPigeon_ / GrayPigeon_][Stopped/Auto Start] <C:\WINDOWS\[D.S.T]><N/A> 下面这个入侵初始化动态链接库文件自启动项的可疑文件正在分析中，貌似是谷歌工具条的什么DD： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL> [Google]
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

hangz 初生襁褓狮帖子:5 注册: 2005-10-12 来自:	发表于： 2007-09-23 11:38 \| 只看楼主短消息资料字号：小中大 4楼多谢多谢，灰鸽子基本解决了。那个GOEC62~1.DLL，我确实安装了不少google工具，但是在google文件夹里没有发现GOEC开头的dll文件，另外这两天总是弹出安全证书过期的对话框，一查是google的安全证书，不知道是和灰鸽子有关还是和这个有关！
hangz 初生襁褓狮帖子:5 注册: 2005-10-12 来自:

卡卡技术团队

帖子:25779
注册: 2007-01-14
来自:

发表于： 2007-09-23 12:11 | 短消息资料

字号：小中大 5楼

引用:

【hangz的贴子】多谢多谢，灰鸽子基本解决了。

那个GOEC62~1.DLL，我确实安装了不少google工具，但是在google文件夹里没有发现GOEC开头的dll文件，另外这两天总是弹出安全证书过期的对话框，一查是google的安全证书，不知道是和灰鸽子有关还是和这个有关！
………………

估计灰鸽子就是GOOGLE工具条捆绑带来的。
建议从控制面板中卸载GOOGLE工具条（需要先断开网络连接），然后把[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>的值项值修改为空（即删除C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL这个字符串，可能卸载GOOGLE工具条后能自动清理掉，但如果没有清理，就手工这么干一下）。
GOOGLE工具条完全可以灭掉，根本没啥用的说。

<<上一主题|下一主题>>

1 / 1 页

跳转页

hangz 初生襁褓狮帖子:5 注册: 2005-10-12 来自:	发表于： 2007-09-23 11:03 \| 只看楼主短消息资料字号：小中大 1楼【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志瑞星查出Backdoor.Win32.Gpigeon.ar病毒，隐藏在IEXPLORE.EXE中，系统启动自动运行IEXPLORE.EXE，系统时间被改为2000年。请求高人帮助分析一下，感激不尽！ [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727) 附件: 文件名:5979302007923105303.txt 下载次数:111 文件类型:application/octet-stream 文件大小: 上传时间:2007-9-23 11:03:51 描述: 2007-09-23 12:11:53.857000000
hangz 初生襁褓狮帖子:5 注册: 2005-10-12 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志

【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志

【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志

附件:

文件名:5979302007923105303.txt 下载次数:111 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(36831); 上传时间:2007-9-23 11:03:51 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】灰鸽子后门无法查杀干净，请求帮助，有sreng日志

文件名:5979302007923105303.txt

下载次数:111

文件类型:application/octet-stream

文件大小:

上传时间:2007-9-23 11:03:51

描述: