瑞星卡卡安全论坛

Backdoor.Gpigeon.twk 这个病毒怎么杀掉呢？他在C盘的所有启动的文件里。我从格了C盘从做系统以后用最新版本的瑞星查还是有这个病毒。

请问大虾门怎么杀啊？

灰鸽子病毒

用最新版Hijackthis1.99.1扫描一个log贴上来。

hijackThis下载地址见置顶贴
[必读]本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

请问着病毒是怎么中的呢？
我昨天刚做的系统，什么也没下载。用瑞星一查C盘就有着病毒。
我把C盘格掉，也不能删除这个病毒吗？
在安全模式下用瑞星查没有这个病毒，一进入正常模式查就有。瑞星写病毒已经删除，然后我在查又出来。

Logfile of HijackThis v1.99.1
Scan saved at 13:19:26, on 2005-12-1
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\RISING\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\罗技鼠标驱动\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\RISING\RISING\RAV\CCENTER.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
d:\rising\rising\rav\Update\RAVXP.EXE
C:\WINDOWS\System32\conime.exe
D:\RISING\RISING\RAV\Ravmond.exe
D:\RISING\RISING\RAV\RavStub.exe
d:\rising\rising\rav\RAVMON.EXE
D:\My Documents\248783200522382732\HijackThis.exe

O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] ; C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] ; SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Super Rabbit SRRestore] D:\MagicSet\srrest.exe /autosave
O4 - HKLM\..\Run: [TkBellExe] ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RavTimer] D:\RISING\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] D:\RISING\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] ; "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] ; D:\罗技鼠标驱动\\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\QQ\SendMMS.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{08F711FB-3886-4C20-93A1-492516DE5C04}: NameServer = 202.99.160.68 202.99.166.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{08F711FB-3886-4C20-93A1-492516DE5C04}: NameServer = 202.99.160.68 202.99.166.4
O23 - Service: Gigeon_Server (GhayDigeonServer) - Unknown owner - C:\WINDOWS\Server.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - D:\Rising\Rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\RISING\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\RISING\RISING\RAV\Ravmond.exe

着是我扫描的，我是新手请多多指点

O23 - Service: Gigeon_Server (GhayDigeonServer) - Unknown owner - C:\WINDOWS\Server.exe灰鸽子病查杀灰鸽子的方法在这里有解答！http://forum.ikaka.com/topic.asp?board=28&artid=6372316          http://forum.ikaka.com/topic.asp?board=28&artid=7107792O23 - NT毒！

中了灰格子。。。。。。。

O23 - Service: Gigeon_Server (GhayDigeonServer) - Unknown owner - C:\WINDOWS\Server.exe
这个是病毒吗？然后我要怎么做？把这个删掉？

我还下载了个灰鸽子专杀的，可是没用啊根本检查不出来。

删除C:\WINDOWS\Server.exe

若删除不掉
用Unlocker工具删除试试
工具下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7471002

我在C:\WINDOWS\下找不到这个文件啊Server.exe
我已经显示隐藏文件了，怎么找这个文件？

注意文件夹选项

附件: 5887812005121142122.JPG

我已经显示所有隐藏文件了，还是看不到那文件。

隐藏受保护的操作系统文件的选项也去掉了

是啊，我都选择了，就是找不到那文件。

能不能在HijackThis上把那文件删掉啊？

直接通过命令行形式删除试试，具体操作参考Unlocker的帖子的后半部分

引用:

【BlackStone的贴子】直接通过命令行形式删除试试，具体操作参考Unlocker的帖子的后半部分 ...........................

能说具体点吗？Unlocker的帖子的后半部分在哪啊？
是着个帖子吗？http://forum.ikaka.com/topic.asp?board=28&artid=7471002&page=2

Unlocker不能直接运行的，必须找到要删除或解除的文件、文件夹右键点击在右键菜单中启动。

也可使用命令行方式运行，例如在CMD中键入:unlocker "C:\windows\system32\kernel32.dll"


这看不明白，你可以直接根据我的情况给我说下吗？

启动CMD
在CMD中键入：...Unlocker "C:\windows\server.exe"

其中...为Unlocker的安装路径

CMD是什么东西。。。
我的路径是这个
D:\Unlocker\Unlocker.exe"C:\windows\server.exe"

我上面那样写没错把？
就是不知道CMD是什么。。。

都是鸽子惹的祸.

我已经把C:\WINDOWS\Server.exe这个文件删掉了
是不是在用瑞星查杀一边就可以了呢？

引用:

【xxx_01的贴子】我上面那样写没错把？ 就是不知道CMD是什么。。。 ...........................

单击Windows开始菜单，选择运行，输入CMD就可以启动了