shilei2888554 - 2006-2-4 19:27:00
病毒分类 WINDOWS下的PE病毒 病毒名称 Backdoor.Gpigeon.uql
别 名 病毒长度
依赖系统 传播途径
行为类型 WINDOWS下的木马程序 感 染
病毒发作瑞 星 版 本 号 18.08.41
灰鸽子后门程序
感染的文件位置是:C:\Program Files\Internet Explorer\iexplore.exe
HijackThis@Qoo的扫描日志 V1.97.7
Scan saved at 19:09:27, on 2006-2-4
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\rising\Rav\RavStub.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\SkyNet\FireWall\PFWmain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\rising\Rav\RavTask.exe
C:\Program Files\rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\rising\Rav\Rav.exe
C:\Program Files\rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\石雷\HijackThis.exe
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: (no name) - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O3 - Toolbar: ????? - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFWmain.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RavScanBD] "C:\Program Files\rising\Rav\ScanBD.exe" /INST
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: netfxsl.log
O4 - Startup: langpackSetup.log
O4 - Startup: dotNetFx.log
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: sys_log_1211337161.upt
O4 - Startup: ntuser.dat
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\
O8 - Extra context menu item: 百度-搜索MP3 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度-搜索图片 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度-搜索新闻 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度-搜索歌词 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度-搜索网页 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度-搜索贴吧 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: 百度-词典搜索 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDU_DIC.HTM
O9 - Extra button: QQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137724629134
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E71E6AA-2ACB-4CF5-8516-086048D7BB0D}: NameServer = 202.98.0.68 202.99.166.4
怎么弄?系统从新做吗?
shilei2888554 - 2006-2-4 19:41:00
【回复“shilei2888554”的帖子】
不问了`
明天重新做系统吧
kittymabel - 2006-2-4 19:47:00
不要啊,楼主!我的和你的症状一模一样。
急切问,怎么办呢?
我得不方便重装阿
谢谢谢谢谢谢啦!
小日本滚但 - 2006-2-4 19:56:00
在Windows 9x系统中,它可以建立一个G_Server.exe的启动项,在Windows 2000/XP等系统中它建立的是服务,当感染系统后,G_Server.dll插入到Explorer.exe或IExplore.exe的进程中,G_Server_Hook.DLL则会插入到全部的进程中,大家在处理的时候也感觉有些麻烦。
这个灰鸽子(GrayPigeonServer)还使用了某些技术把自身文件和服务信息隐藏起来,使得大家在正常模式下根本找不到这三个病毒文件。怎么办呢?我们还是有办法搞定它。
在Windows 9x系统中,你可以先找到病毒建立的那个启动项,把它删除,然后重新启动计算机,重启后尝试找到并删除那三个文件。在Windows 2000/XP的系统中,你可以先把它建立的服务去掉,到注册表编辑器中找到它所建立的那个服务,打开注册表编辑器先定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,然后再找它建立的服务项,比如GrayPigeonServer,找到后删除它并重新启动计算机,重启后查找删除那三个病毒文件就行,这样就不是很麻烦了请到安全模式下
在系统盘中搜索所有带有G_SERVER字样的文件 [EXE和DLL]
然后删除
这个病毒的DLL文件可能注入到系统文件进程中了
删除后可能有一些东西需要您在手动处理一下
所有文件属性只读、隐藏、系统
并且
文件在WINDOWS或SYSTEM32目录下
并且
文件名中含有 KEY 、HOOK、SERVER、SETUP、UNINSTALL 的文件都请小心
***************************************************
_线前面的名称是可以更换的,我刚拿到了个鸽子,名字是:IEXPLORE_Hook.DLL,没有反病毒软件能查杀
例如:
help.exe
help.dll
helpKey.dll
help_Hook.dll
uinstall.exe
uinstall.dll
uinstallKey.dll
uinstall_Hook.dll
G_Server.exe
G_Server.dll
G_ServerKey.dll
G_Server_Hook.dll
QQ.exe
QQ.dll
QQKey.dll
QQ_Hook.dll
IEXPLORE.exe
IEXPLORE.dll
IEXPLOREKey.dll
IEXPLORE_Hook.dll
Setup.exe
Setup.dll
SetupKey.dll
Setup_Hook.dll
所以保险起见,建议搜索常见的字符,如: QQ、IEXPLORE、G_SERVER、HOOK 等
搜索前要进入安全模式、打开查看系统和隐藏文件选项 打开显示所有文件选项
© 2000 - 2026 Rising Corp. Ltd.