瑞星卡卡安全论坛

我的电脑中了Backdoor.Gpigeon.tju病毒，电脑总是自动重启，每天至少一次，很郁闷！

这是我的扫描日志，请高手帮忙看下哪个是病毒，谢谢了！
Logfile of HijackThis v1.99.1
Scan saved at 9:32:07, on 2005-12-29
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\ni_nic.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINNT\System32\Promon.exe
C:\WINNT\loadqm.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\System32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\软件\qq\TMDlls\TM.exe
D:\软件\qq\TIMPlatform.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
F:\chenln\电脑\查杀病毒\扫描注册信息表工具\HijackThis.exe

O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINNT\Downloaded Program Files\barhelp22.0.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: 天下搜索 - {56A7DC70-E102-4408-A34A-AE06FEF01586} - C:\WINNT\DOWNLO~1\IEBAR2~1.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel Client Instrumentation for DMI and SNMP (ni_nic) - Intel? Corporation - C:\WINNT\System32\ni_nic.exe
O23 - Service: NMS Service (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: widows_Server (windowsServer) - Unknown owner - C:\WINNT\G_Server.exe

请问哪项是灰鸽子

最后一个好像是

【回复“骑剑下天山”的帖子】
谢谢！你确定吗

用微点马上解决，瑞星早过时了

是啊!你去病毒论坛那里有杀掉的放法!

结束C:\WINNT\System32\ni_nic.exe的进程

修复
O23 - Service: widows_Server (windowsServer) - Unknown owner - C:\WINNT\G_Server.exe

删除
C:\WINNT\System32\ni_nic.exe
C:\WINNT\G_Server.exe

搜索
G_Server.dll
G_Serverkey.dll
G_Server_hook.dll
找到后全部删除

该用户帖子内容已被屏蔽

【回复“不言放弃”的帖子】
谢谢你，可是我很笨，不懂，所以删的不成功，有几个弱问需要再次麻烦你了！
1、如何结束C:\WINNT\System32\ni_nic.exe的进程，我不会，所以在删除C:\WINNT\System32\ni_nic.exe的时候，出现源文件正在使用，不能删除。
2、如何修复
O23 - Service: widows_Server (windowsServer) - Unknown owner - C:\WINNT\G_Server.exe
3、我是这样操作的：
  打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除了文件夹下的windowsServer文件夹，然后，在C:\WINNT下删除了G_Server.exe和G_Server.dll.其余的两个文件G_Serverkey.dll
G_Server_hook.dll
都没有找到。
我已经设置过文件夹选项了，将所有的文件都显示出来了。
可好像还是不行。
请楼上的高手帮忙

【回复“lanyue”的帖子】
C:\WINNT\System32\ni_nic.exe

这个是什么进程呀?我怎么没见过呀?是你自己开的进程吗?


我不懂啊

按ctrl+alt+del建  从那里面找..关掉后..用hijackthis软件扫描后对O23 - Service: widows_Server (windowsServer) - Unknown owner - C:\WINNT\G_Server.exe进行修复..先试试再说..应该已经足够删除灰鸽子病毒了

【回复“不言放弃”的帖子】和【回复“帅的被贼砍”的帖子】

我没有进行“结束进程”和“修复”操作，现在查病毒好象没有了，我还需要进行这两步操作吗？刚刚试了一下，提示说如果结束进行，将会导致数据丢失和系统不稳定，我还需要进行这种操作吗？

另：我的电脑总是时不时地自动重启，是什么原因啊，和病毒有关吗？可刚才删了病毒，仍然又自动重启了。这是怎么回事，请高手帮忙！谢谢

最好删了进程里的它.也许像当年的冲击波一样呵.ni_nic.exe这个不应该是进程里运行的.结束了试试把

【回复“帅的被贼砍”的帖子】

我刚刚试了一下，显示：无法完成操作，拒绝访问！
这是怎么回事啊

请截个图上来...

引用:

【帅的被贼砍的贴子】请截个图上来... ...........................

不好意思，我很笨哈，怎么截图阿，我都不好意思了！呵呵

给你个最简单的办法..有qq吗..用qq有个截图的东西...截完后..在你截图的里面鼠标右键..点另存为后边你应该知道了

【回复“帅的被贼砍”的帖子】

我怎么给你看啊。

好像粘贴不上啊

楼主我也是个菜鸟，听说百度知道里有高手，没准就能解决你的问题。

引用:

【baiduaiwo的贴子】楼主我也是个菜鸟，听说百度知道里有高手，没准就能解决你的问题。 ...........................

好的，谢谢

点 标准模式...就有了

麻烦了！

附件: 56414720051230163003.gif

你对机子重启过吗..干脆这样.你在安全模式下..搜ni_nic.exe.有的话把它删了..

这一个小时左右没有重启过。好的，我试试

【回复“帅的被贼砍”的帖子】

谢谢帅哥！我已经把ni_nic.exe删了，还需要对023那一项修复吗，这样是不是就行了。
我的电脑自动重启是不是病毒害的啊。

也没准的  在扫描一下看看..有的话 修复了

修复这两项.如果有的话
O23 - Service: Intel Client Instrumentation for DMI and SNMP (ni_nic) - Intel? Corporation - C:\WINNT\System32\ni_nic.exe
O23 - Service: widows_Server (windowsServer) - Unknown owner - C:\WINNT\G_Server.exe

【回复“帅的被贼砍”的帖子】谢谢谢谢！我已经查过了，没有了！
太感谢你了！

不用客气.现在电脑没有问题了吧

引用:

【帅的被贼砍的贴子】修复这两项.如果有的话 O23 - Service: Intel Client Instrumentation for DMI and SNMP (ni_nic) - Intel? Corporation - C:\WINNT\System32\ni_nic.exe O23 - Service: widows_Server (windowsServer) - Unknown owner - C:\WINNT\G_Server.exe ...........................

第一项还有，修复了也还有，怎么回事啊