瑞星卡卡安全论坛

我中了木马病毒：backdoor.gpigeon.sgr
怎么每次杀掉了，电脑重启又有了，杀的我头都大了
哎，害我传奇号被盗了
谢谢指教

中灰鸽子了

这病毒就是灰鸽子吗？我在瑞星查说是木马病毒
怎么杀呢
谢谢

有人告诉我吗，是不是灰鸽子啊？
谢谢各位

灰鸽子首页里有方案，去看看

我按照首页里的方案的办法做了，没找到Game_Hook.DLL文件啊，好象不是灰鸽子哦
哪位高手帮忙指点一下，谢谢

看看网络嘉年华里的一篇文章,它可以帮你解决问题的地址是:
http://www.happer.com.cn/showart.asp?art_id=6

6楼的朋友，没找到Game_Hook.DLL文件啊，好象不是灰鸽子哦

把注册表RUN里面一些东西删掉！

看病毒文件名就是灰鸽子.没找到那个文件,就继续进行下一步骤啊,

晕，搞不懂了，没Game_Hook.DLL文件啊，再下一步也没game.exe
game.dll文件啊，怎么再下一步啊？
我比较笨，呵呵，多谢楼上几位高手指点

晕，我试了在安全模式下杀掉了，重启还是有啊
我都搞了半天了，请高手指点啊，急死我了

删除临时文件

http://forum.ikaka.com/topic.asp?board=28&artid=6202404

如果不会的话看看这个地址里的文章吧:http://www.happer.com.cn/showart.asp?art_id=5

引用:

【非龙在天的贴子】晕，搞不懂了，没Game_Hook.DLL文件啊，再下一步也没game.exe game.dll文件啊，怎么再下一步啊？ 我比较笨，呵呵，多谢楼上几位高手指点 ...........................

它不一定是game.exe games.dll的
要看你的电脑的具体文件是什么
你用HIJACKTHIS把日志扫上来再说吧

先不管是灰鸽子 或者啥
既然是马  已经查到  可杀  就够了

杀掉还有  是因为木马源文件在你的硬盘里还有文件驻存
试着  取消 “隐藏受保护的系统文件” 断网 进安全模式下  “全盘查毒”（不要 只查系统盘）
如果是XP  先关闭系统还原 再查毒

引用:

【yubis的贴子】 它不一定是game.exe games.dll的 要看你的电脑的具体文件是什么 你用HIJACKTHIS把日志扫上来再说吧 ...........................

在哪下载HIJACKTHIS，谢谢

引用:

【过把瘾就死的贴子】先不管是灰鸽子 或者啥 既然是马  已经查到  可杀  就够了 杀掉还有  是因为木马源文件在你的硬盘里还有文件驻存 试着  取消 “隐藏受保护的系统文件” 断网 进安全模式下  “全盘查毒”（不要 只查系统盘） 如果是XP  先关闭系统还原 再查毒 ...........................

谢谢，我试一下，马上回复。
万分感谢

hijackthis1.991
http://forum.ikaka.com/uploadfiles/20054/1/155847200541134207.rar

引用:

【过把瘾就死的贴子】先不管是灰鸽子 或者啥 既然是马  已经查到  可杀  就够了 杀掉还有  是因为木马源文件在你的硬盘里还有文件驻存 试着  取消 “隐藏受保护的系统文件” 断网 进安全模式下  “全盘查毒”（不要 只查系统盘） 如果是XP  先关闭系统还原 再查毒 ...........................

晕，重启之后还是有

引用:

【yubis的贴子】hijackthis1.991 http://forum.ikaka.com/uploadfiles/20054/1/155847200541134207.rar ...........................

谢谢
怪了，下载了之后打不开
再次感谢帮助过的朋友

虽然病毒没杀掉，但让我学到不少东西，好心人真多，在这里再次感谢大家

http://www.down911.com/SoftView/SoftView_1662.html
压缩文件打不开？那从这里下载试试
然后把日志扫上来
不要留后患哈

引用:

【yubis的贴子】http://www.down911.com/SoftView/SoftView_1662.html 压缩文件打不开？那从这里下载试试 然后把日志扫上来 不要留后患哈 ...........................

可以打开了，怎么上传日志，好象不能用复制啊。谢谢

HB_HIJACKTHIS.EXE1991_zww.exe----扫描系统并保存日志-----它应该会自动弹出日志，你复制贴上来
没有自动弹出的话，它应该会在原文件夹里自动生成一个。LOG文件
那个就是日志

O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTimer] C:\瑞星\RAVTIMER.EXE
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [RavMon] C:\瑞星\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [Net] C:\WINDOWS\System32\SVCH0ST.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://202.107.225.247/plugin/PowerPlr.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7463282-50F2-408B-B40E-E573B6E0806C}: NameServer = 202.96.107.29 202.96.107.28
O23 - Service: TrikWks (Distributed Link trking Client) - Unknown owner - C:\WINDOWS\servics.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\system.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\瑞星\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\瑞星\Ravmond.exe

呵呵，谢谢，帮忙看看

O23 - Service: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\system.exe
就是这个！

引用:

【yubis的贴子】O23 - Service: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\system.exe 就是这个！ ...........................

谢谢，那下一步该怎么做了

进入注册表的以下位置：

HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES
把有关Pigeon的删掉