各位大哥帮忙解决下  谢谢了.......    病毒名称 Backdoor.Gpigeon.uql


HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:55:37, 日期 2006-11-14
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
E:\瑞星\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
E:\瑞星\Rav\Ravmond.exe
e:\瑞星\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\瑞星\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
e:\瑞星\rfw\RfwMain.exe
E:\瑞星\Rav\RavTask.exe
E:\瑞星\Rav\Ravmon.exe
F:\网络连接\ARP保护神2.1\arp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DigitalChina\DigialChinawebaClient\DigitalChinawebaClient.exe
F:\HijackThis1[1].99.1\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v11.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\Thunder\ComDlls\XunLeiBHO_002.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [RfwMain] "E:\瑞星\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "E:\瑞星\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [传奇杀手克星] F:\网络连接\ARP保护神2.1\arp.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - E:\Thunder\Program\GetAllUrl.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - http://p3p.sogou.com/MMCShell.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7F2654E-00C0-4E33-8F15-C3875A6A4740}: NameServer = 218.30.19.40,61.134.1.4
O23 - NT 服务: MicroSoft SMTP Service - Unknown owner - C:\Program.exe (file missing)
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: P4P Service - Sohu.com Inc. - C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - e:\瑞星\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\瑞星\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rav\Ravmond.exe

病毒分类        WINDOWS下的PE病毒 
病毒名称        Backdoor.Gpigeon.uql 　
病毒长度        761344字节 
行为类型        WINDOWS下的木马程序    　
瑞 星 版 本 号  18.08.41 

我用的是正版瑞星杀不掉啊. (安全模式差不到)从起又出来.郁闷啊5555555555

病毒名称        Backdoor.Gpigeon.uql




　 

楼主
baohe 
 


头衔:版主
等级:超凡脱俗
文章:30583
注册:2003-4-10 

鸽子变种很多，查杀方法各异。本帖只适用于下述情形：

（1）杀软报告灰鸽子但杀不净；且（2）HijackThis日志中发现异常O23项（如：O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe）；且（3）灰鸽子的文件在%windows% 目录下。

这类灰鸽子的手工查杀流程：

1、打开注册表编辑器，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。删除灰鸽子的服务项。
怎么确认灰鸽子服务项的名字？看HijackThis日志O23的提示。如：O23 - Service: svchost (Windows Access)，括弧中的Windows Access就是你要删除的灰鸽子服务项。
如果HijackThis日志O23的提示中没有括弧中的内容，紧接在Service:后面的内容就是灰鸽子的服务名——删！
有人可能会问：这是不是笨了点儿？在HijackThis面板中直接点击这个O23，再点击“修复”不就完了吗？
是的。我也知道有此一法。但这种方法并不能保证你总能修复掉这个异常的O23。最后，还是要用注册表编辑器删除它。
2、重启系统。为什么要重启？ 因为这类鸽子没有注册表监控。删除其服务项后，重启系统，鸽子就不能运行了。这时，鸽子的文件可以随便删。

3、显示隐藏文件，删除鸽子的文件。
这类鸽子的文件都在%windows% 目录下。%windows%是什么意思？%windows%是个变量符号，表示“WINDOWS”目录。因为每个人的系统不一定都安装在相同的分区，因此，只能这么表示。如果你的系统安装在C盘，%windows%指的是C:\WINDOWS；如果你的系统安装在D盘，%windows%指D:\WINDOWS，依此类推。

怎么确认鸽子的文件名？还是看HijackThis日志。Unknown owner - 后面的内容就是鸽子文件的所在位置及其文件名。本例是C:\WINDOWS\windr.exe）。

注意：除了可执行文件.exe外（本例是windr.exe），%WINDOWS%下可能还有包含可执行文件名的.dll文件（以本例为例，这些dll的文件名可能有windr.dll、windr_hook.dll、windrKey.dll），这些文件数目不定。只要有，也要删除。



此贴于2006-1-24 20:00:26被baohe修改
 
发贴时间:2006-1-22 13:38:56



着方法我试了没用哦. 安全模式下搞定  从起后就又有了.

你怎么删的？

【回复“火棉ε丸”的帖子】
断开网络。
关闭IE浏览器以及所有应用程序。
结束C:\Program.exe进程。
用HijackThis修复：

O23 - NT 服务: MicroSoft SMTP Service - Unknown owner - C:\Program.exe (file missing)

重启系统。

再扫日志。看看是否还有这个O23- NT 服务: MicroSoft SMTP Service；是否还有C:\Program.exe 。

如果没有了，就行了。

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
这个是不是可以修复一下

引用:

【baohe的贴子】【回复“火棉ε丸”的帖子】 断开网络。 关闭IE浏览器以及所有应用程序。 结束C:\Program.exe进程。 用HijackThis修复： O23 - NT 服务: MicroSoft SMTP Service - Unknown owner - C:\Program.exe (file missing) 重启系统。 再扫日志。看看是否还有这个O23- NT 服务: MicroSoft SMTP Service；是否还有C:\Program.exe 。 如果没有了，就行了。 ………………

我试试.谢谢了.

谢谢    baohe  斑竹.......

我的问题解决了.......


顶顶顶....