瑞星卡卡安全论坛

Logfile of HijackThis v1.99.1
Scan saved at 19:03:10, on 2005-7-9
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\MY SOFTWARE\杀毒软件\RISING\RAV\Ravmond.exe
D:\MY SOFTWARE\杀毒软件\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\G_Server.exe
D:\MY SOFTWARE\杀毒软件\RISING\RAV\CCENTER.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\MYSOFT~1\杀毒软件\RISING\RAV\RAVTIMER.EXE
D:\MYSOFT~1\杀毒软件\RISING\RAV\RAVMON.EXE
C:\Program Files\wsearch\Search.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\My Software\dudu\DuDuAcc.exe
D:\My Software\dudu\dudupros.exe
D:\My Software\杀毒软件\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
D:\My Software\杀流行病毒\hijack\HijackThis.exe

O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\My Software\QQ\setup file\QQIEHelper.dll
O2 - BHO: DDDMon Class - {6BDE1669-B490-48E3-B668-456314F2D6C3} - D:\My Software\dudu\dddiemon.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\MYSOFT~1\flashget\FLASHGET\jccatch.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\MYSOFT~1\flashget\FLASHGET\fgiebar.dll
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "D:\My Software\影音风暴\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [RavTimer] D:\MYSOFT~1\杀毒软件\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] D:\MYSOFT~1\杀毒软件\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM\..\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: 桌面传媒.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &使用DuDu 加速器下载 - res://D:\My Software\dudu\dddmext.dll/202
O8 - Extra context menu item: 使用网际快车下载 - D:\My Software\flashget\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\My Software\flashget\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\MYSOFT~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\My Software\QQ\setup file\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\My Software\QQ\setup file\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\My Software\QQ\setup file\SendMMS.htm
O9 - Extra button: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - D:\My Software\dudu\DuDuAcc.exe
O9 - Extra 'Tools' menuitem: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - D:\My Software\dudu\DuDuAcc.exe
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MYSOFT~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\My Software\QQ\setup file\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\My Software\QQ\setup file\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\MYSOFT~1\flashget\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\MYSOFT~1\flashget\FLASHGET\flashget.exe
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\My Software\QQ\setup file\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\My Software\QQ\setup file\QQIEHelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC22A16-79E6-4787-9C96-B6359BB1106D} (DigitalTrafic Control) - http://www.jt.sh.cn/trafficmap/jtj.cab
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\System32\G_Server.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\MY SOFTWARE\杀毒软件\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\MY SOFTWARE\杀毒软件\RISING\RAV\Ravmond.exe

C:\WINDOWSC:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\G_Server.exe
这两个有问题

谢谢
那接下来怎么办

请用最新的杀毒软件杀毒,请你把G_Server.exe这个文件打包传上来

用瑞星17.34.40行吗？
船上来干嘛阿
我不懂
请搂主不要见笑

G_Server.exe像是木马,你用瑞星没查到病毒吗

重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）

先终止下面的进程，（关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口）。
C:\WINDOWS\System32\G_Server.exe

请关闭所有IE界面，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。（如果楼主知道是安全的可以不必勾选）
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\System32\G_Server.exe

然后打开我的电脑。。再点工具。。打开文件夹选项。。。查看。。。把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉。再显示所有文件。 用WINDOWS的查找功能进行查找并删除：
C:\WINDOWS\System32\G_Server.exe

O4 - 启动项HKLM\\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
是“网络猪”的项目（也可能是划词搜索），如果楼主不想使用，请到开始-->设置-->控制面板-->添加删除程序, 卸载

请参考：
灰鸽子2005手工查杀方法总结
http://forum.ikaka.com/topic.asp?board=28&artid=5666824

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\System32\G_Server.exe
此项明显的"灰鸽子"服务.

我查到十个病毒
病毒名称处理结果扫描方式路径文件病毒来源
Backdoor.Gpigeon.4.h(灰鸽子)忽略手动扫描G_Server.exe>>C:\WINDOWS\System32\G_Server.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描C:\WINDOWS\system32G_Server.DLL本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描C:\WINDOWS\system32G_Server.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描C:\WINDOWS\system32temp1.exe本机
VirTool.EXEBinder发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022861.exe>>刷币Q动画教程.exe本机
VirTool.EXEBinder发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022861.exe>>readme.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022861.exe>>1.exe本机
VirTool.EXEBinder发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022862.exe本机
VirTool.EXEBinder发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022863.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022864.exe本机
未知病毒发现病毒手动扫描D:\My Software\QQ\setup fileTimwp.exe本机
未知病毒发现病毒手动扫描D:\My Software\QQ\setup file\TMDLLsTimwp.exe本机
未知病毒发现病毒实时监控D:\My Software\QQ\setup file\TMDLLsTimwp.exe本机
未知病毒发现病毒实时监控D:\My Software\QQ\setup file\TMDLLsTimwp.exe本机
未知病毒发现病毒实时监控D:\My Software\QQ\setup file\TMDLLsTimwp.exe本机
未知病毒发现病毒实时监控D:\My Software\QQ\setup file\TMDLLsTimwp.exe本机
未知病毒发现病毒实时监控D:\My Software\QQ\setup file\TMDLLsTimwp.exe本机
未知病毒发现病毒实时监控D:\My Software\QQ\setup file\TMDLLsTimwp.exe本机
未知病毒发现病毒实时监控D:\My Software\QQ\setup file\TMDLLsTimwp.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)忽略手动扫描G_Server.exe>>C:\WINDOWS\System32\G_Server.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描C:\WINDOWS\system32G_Server.DLL本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描C:\WINDOWS\system32G_Server.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描C:\WINDOWS\system32temp1.exe本机
VirTool.EXEBinder发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022861.exe>>刷币Q动画教程.exe本机
VirTool.EXEBinder发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022861.exe>>readme.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022861.exe>>1.exe本机
VirTool.EXEBinder发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022862.exe本机
VirTool.EXEBinder发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022863.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒手动扫描D:\System Volume Information\_restore{2B005728-F6C4-4C6F-AF6A-0F73F2AF99EE}\RP29A0022864.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒实时监控C:\WINDOWS\System32G_Server.exe本机
Backdoor.Gpigeon.4.h(灰鸽子)发现病毒实时监控C:\WINDOWS\System32G_Server.exe本机

不是在安全模式下用HijackThis后选中你说有问题的两项后腰不要点修复阿

麻烦搂主喽

先杀毒吧HijackThis不会杀毒的

就是到安全模式下杀毒吗
真想请搂主到家里来啊

你别着急,关上系统还原后,到安全模式下杀毒

【回复“NIKEZHU”的帖子】
建议楼主最好到安全模式下先暂时关闭系统还原，然后按上面方式修复，然后全盘杀毒

谢谢搂主的帮助，本来有十个病毒现在只剩下一个了， Backdoor.Gpigeon.4.h(灰鸽子) C:\WINDOWS\system32\temp1.exe
接下来该怎么办
谢谢蓝色羽毛、飞跃迷离的指导！