作者:mervin
本文属于黑色反击安全在线原创，转载请加上黑色反击信息。
http://www.hf110.com

今天我一高兴就准备杀杀病毒，因为很长时间没有杀毒了。虽然是电脑老手可是也有疏忽的时候。

打开正版瑞星杀毒软件，一路开杀本以为我的电脑不会中病毒，可惜啊居然杀出个Backdoor.Gpigeon.ugu 病毒。瑞星提示说清除成功，我也就没有在乎。





图一

杀完毒我重新启动电脑，用瑞星在刚刚查出病毒的位置又重新查杀了一下没有病毒了。高兴啊，可是我想知道刚刚那个到底是什么病毒，便在网上搜索了一下，这一搜索便有了我下面的杀毒经历。

在百度搜索没有想到很多人都中了这个病毒，它原来是灰鸽子的变种，而且用杀毒软件根本无法完全清除，各位看官看好了我说的是无法完全清除。这个病毒的特点是会随机启动IEXPLORE.EXE程序，是以SYSTEM用户身份启动。




                                  图二
在WINDOWS任务管理器里面可以看到并且清除，但是下次重新启动电脑又会起来。

我第一个想到的是注册表的启动项和系统的启动目录，于是在注册表启动项和系统启动目录里面找，可惜都没有它的踪影。看样子这个病毒还是有点隐藏手段的嘛，打开HijackThis软件（此软件在黑色反击有下载），果不其然在里面发现了 C1ipbook这个系统服务，服务所运行的程序是c:\windows\run.exe。




图三

嘿嘿被我抓住小辫子了吧，首先系统服务里面根本就没有C1ipbook这个服务，只有Clipbook这个服务，注意病毒用的服务C后面跟的是一，而系统正常的服务C后面跟的是英文L，病毒是用C1ipbook来欺骗我们广大群众。再去找WINDOWS下面的run.exe这个程序，来到目录底下居然找不着这个程序，隐藏了。一般人会立马到文件夹选项里面去设置成显示所有文件和文件夹，设置完后回来看还是没有。其实这个文件被设置成了系统属性，你必须还要把“隐藏受保护的操作系统文件（推荐）”前面的勾也去掉或是到命令提示符窗口执行ATTRIB命令就可以看见隐藏的病毒文件了。




                                                  图四

到这里就简单了，右击“我的电脑”选择“管理”打开“服务”果然看见里面有C1ipbook和Clipbook两个相似的服务在那里。




图五

不多说开始手工杀吧，在任务管理器里面删除IEXPLORE.EXE程序进程，再到WINDOWS目录地下删除已经显示出来的病毒文件run.exe。第三步删除C1ipbook这个服务，打开注册表查找“C1ipbook”然后删除所有查找出来的注册表项。




            图六
其中LEGACY_C1IPBOOK这个项会无法删除，




                                            图七
在我电脑上面是这样不知道在你电脑上面是否这样了如果你可以删除更好不可以删除就进行下面和我一样的操作。用鼠标右击LEGACY_C1IPBOOK然后选择权限，在里面把Everyone这个用户的完全控制权限给选择上点击确定就OK。

重新启动电脑，再看看任务管理里面没有随机启动IEXPLORE.EXE程序的进程了吧，系统服务里面也没有C1ipbook这个服务了，WINDOWS目录里面的run.exe程序更是没有了。OK到此Backdoor.Gpigeon.ugu 病毒清除完毕。