【回复“星葙草001”的帖子】

以下修复中的操作可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7422438&page=9
第125楼里的有关链接

重新启动到安全模式

如果使用了系统还原功能, 请先关闭此功能。

停止并禁用服务:
Gray_Pigeon_Server2.0 (GrayPigeonServer2.0)
Jray_Pigeon_Server (JrayPigeonServer)



设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0_dll.dll
C:\WINDOWS\G_Server2.0_hook.dll
C:\WINDOWS\G_Server2.0_key.dll

C:\WINDOWS\J_Server.exe
C:\WINDOWS\J_Server.dll
C:\WINDOWS\J_Server_dll.dll
C:\WINDOWS\J_Server_hook.dll
C:\WINDOWS\J_Server_key.dll

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1002C84D-A326-2D3C-13F3-2C2474392A91}? - (no file)
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410}? - (no file)

O2 - BHO: Ad Class - {812886BE-AB50-4EAE-92CF-9AD63437E3EF} - C:\WINDOWS\SeAd\SeAd439ee3a3.dll (file missing)


O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe

O23 - Service: Jray_Pigeon_Server (JrayPigeonServer) - Unknown owner - C:\WINDOWS\J_Server.exe



清空IE临时文件夹

引用:

【帥の逍遙的贴子】请问一下，我的电脑也中鸽子病毒，可是我只找到WINDOES里面的两个删掉了，还有一个带key的没找到，在就是注册表里的我也没删，请问它还能复活吗？ 请路过的高手指点一下，谢谢！~~~~~~~~~~我的QQ200821658 ...........................

有些灰鸽子的dll文件名不一定带key的。

建议使用HijackThis扫描LOG发上来，方便大家讨论。

引用:

【相信2006的贴子】我用2006，为什么杀不掉这个病毒Backdoor.GPigeon.uaf！！！ 请教方法！！ ...........................

请在安全模式下使用瑞星杀毒软件或者瑞星的灰鸽子专杀工具查杀看看。

如果问题还不能解决，

请把瑞星的杀毒记录导出贴上来，

并用HijackThis扫描log贴上来，

方便大家分析。

引用:

【yangyugod的贴子】我的xp里的windows\temp目录里有个eleae7.dll文件，删也删不了。安全模式下能删，但重起就又有。瑞星报是backdoor.Gpigeon.umj灰鸽子。但专杀工具找不到。还有系统里只有map_hook.dll没有其它的东西了。怎么办？ ...........................

也有可能你所用的某个软件中绑有这个病毒，每次运行这个软件时，这个病毒也被运行了。

你观察你所用的软件看看。

您可以到http://endurer.ys168.com的tools\系统分析和修复里下载HijackThis扫描Log发上来，方便大家分析。

引用:

【纤纤月儿的贴子】这是我查到的病毒，虽然是查杀了，可是现在依然有问题。。还有高手在吗？？拜托帮忙看一下好吗？ 病毒名称处理结果发现日期扫描方式路径文件病毒来源 Trojan.DL.Small.bit删除成功2005-12-21 11:32定时扫描C:\System Volume Information\_restore{D8653F06-C924-4E9E-B452-659766EB38A0}\RP13A0005118.exe本机 Trojan.DL.Small.biu删除成功2005-12-21 11:33定时扫描C:\System Volume Information\_restore{D8653F06-C924-4E9E-B452-659766EB38A0}\RP14A0005252.exe本机 Trojan.DL.Small.biv删除成功2005-12-21 11:33定时扫描C:\System Volume Information\_restore{D8653F06-C924-4E9E-B452-659766EB38A0}\RP14A0005253.exe本机 Trojan.DL.Small.btz删除成功2005-12-31 16:11手动扫描C:\System Volume Information\_restore{D8653F06-C924-4E9E-B452-659766EB38A0}\RP18A0008368.EXE本机 Trojan.DL.Agent.eiz删除成功2006-01-01 02:53手动扫描C:\WINDOWS\system32winhelper.exe本机 Trojan.DL.Agent.eiz删除成功2006-01-01 03:08手动扫描C:\System Volume Information\_restore{D8653F06-C924-4E9E-B452-659766EB38A0}\RP14\snapshotMFEX-1.DAT本机 Trojan.DL.Agent.eiz删除成功2006-01-01 03:09手动扫描C:\System Volume Information\_restore{D8653F06-C924-4E9E-B452-659766EB38A0}\RP21A0008744.exe本机 ...........................

引用:

【yangyugod的贴子】我的xp里的windows\temp目录里有个eleae7.dll文件，删也删不了。安全模式下能删，但重起就又有。瑞星报是backdoor.Gpigeon.umj灰鸽子。但专杀工具找不到。还有系统里只有map_hook.dll没有其它的东西了。怎么办？ ...........................

System Volume Information是系统还原功能所用的文件夹。

请在安全模式下，关闭系统还原功能，再用杀毒软件扫描看看。

如果还不能解决，您可以到http://endurer.ys168.com的tools\系统分析和修复里下载HijackThis扫描Log发上来，方便大家分析。

【回复“纤纤月儿”的帖子】

这个log中没有发现可疑的项目。

引用:

【偶然奇遇的贴子】我中了鸽子! 瑞星显示是在"D:\DOCUME~1\偶然奇遇\LOCALS~1\Temp 我用D盘做的系统盘.病毒名叫:Backdoor.GPigeon 运行接头篮球就出来.显示重新启动后删除,可删除不了.还有,并不是每次运行都有病毒.郁闷!大侠帮忙呀!!!!! HijackThis_zww汉化版扫描日志 V1.99.1 保存于      16:50:01, 日期 2006-1-4 操作系统：  Windows XP SP2 (WinNT 5.01.2600) 浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180) ...........................

以下修复中的操作可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7422438&page=9
第125楼里的有关链接

重新启动到安全模式

卸载软件：MMSAssist

如果使用了系统还原功能, 请先关闭此功能。


设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

D:\WINDOWS\system32\meobjsdt.dll


先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: MEobjectSDT - {4136C3F6-7636-49bf-A122-D4DA53B1ADDF} - D:\WINDOWS\system32\meobjsdt.dll

O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - D:\PROGRA~1\MMSASS~1\Mmsass~1.dll


O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://D:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm


O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - D:\PROGRA~1\MMSASS~1\Mmsass~1.dll

O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - D:\PROGRA~1\MMSASS~1\Mmsass~1.dll

O16 - DPF: {48038521-20FB-11D8-BC64-00B0D07A8A19} (PortalCom Control 2.0) - http://221.208.250.138/PortalAX02.cab

清空IE临时文件夹


把下面这个路径

D:\DOCUME~1\偶然奇遇\LOCALS~1\Temp

复制／粘贴到WinRAR的地址栏，按回车。

尽可能地把里面的文件和文件夹都删除掉。

估计是你使用的某个软件有问题，请把最近安装的软件逐一卸载看看。

引用:

【偶行偶素的贴子】大家都有好多问题,我的灰鸽子杀了,但我想问一下,为什么我的瑞星2006和瑞星2006防火墙连查都查不出有木马?(PS:D版的瑞星,与D版的有关吗?版本:瑞星杀毒2006为18.07.20  防火墙为 18.07 ...........................

灰鸽子的变种层出不穷

杀软查不出某些新变种是正常的。

偶昨天挖到的一个新变种，只有

AntiVir  Found Heuristic/Trojan.PwdStealer (probable variant) 
NOD32  Found probably a variant of Win32/Hupigon (probable variant) 

引用:

【行星密码的贴子】我也中毒了,帮我看看吧! HijackThis@Qoo的扫描日志  V1.97.7 Scan saved at 23:32:42, on 2006-1-4 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

你使用的HijackThis版本太低了。

请使用HijackThis 1.99.1扫描log发上来。

HijackThis 1.99.1 可以到

http://endurer.ys168.com

的tools\系统分析和修复 中下载。

引用:

【hhhyaoyao的贴子】帮看```提示有鸽子  找不到  （怀疑还有其他病毒） Logfile of HijackThis v1.99.1 Scan saved at 0:15:29, on 2006-1-6 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) ...........................

以下修复中的操作可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7422438&page=9
第125楼里的有关链接

重新启动到安全模式

停止并禁用服务：SDAgent Service (SDAgentService)

卸载：MMSAssist、EyeOnBrowser、stdup、完美网译通

如果使用了系统还原功能, 请先关闭此功能。


设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\System32\wmpdrm.dll
C:\WINDOWS\Downlo~1\_IS_0518\_IS_WEBH.dll
C:\WINDOWS\System32\msibm\cfsbho.dll
C:\WINDOWS\System32\obwbkya.dll
C:\WINDOWS\System32\spoolsv\spoolsv.exe
C:\Program Files\Common Files\smartde\sde.exe


先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

删除文件：C:\WINDOWS\SYSTEM32\stdup.dll

删除文件夹：
C:\WINDOWS\WORLD2
C:\WINDOWS\System32\msibm
C:\WINDOWS\System32\spoolsv
C:\Program Files\Common Files\smartde
C:\PROGRA~1\MMSASS~1

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：


O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\System32\wmpdrm.dll

O2 - BHO: EyeOnBrowser Class - {1272F701-349D-4DB3-BBCD-10CBDCD049FE} - C:\WINDOWS\Downlo~1\_IS_0518\_IS_WEBH.dll

O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

O2 - BHO: Ad Class - {812886BE-AB50-4EAE-92CF-9AD63437E3EF} - C:\WINDOWS\SeAd\SeAd439d3568.dll (file missing)

O2 - BHO: BHelper - {8A4280AD-9B37-4922-A51D-73F3C3A32AF7} - C:\WINDOWS\System32\msibm\cfsbho.dll

O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - C:\WINDOWS\System32\obwbkya.dll

O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll

O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\System32\spoolsv\spoolsv.exe -printer

O8 - Extra context menu item: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm

O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll

O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll


O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab

O23 - Service: SDAgent Service (SDAgentService) - 北京兴华基业软件技术有限公司 - C:\Program Files\Common Files\smartde\sde.exe


清空IE临时文件夹