瑞星卡卡安全论坛

开机时候瑞星监控发现病毒Backdoor.Gpigeon.5.be和Backdoor.Gpigeon.hw。扫描日志如下：
O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
在安全模式下删除PigeonServer，然后在c:\windows下删除G_Server1.2.exe。但是没有找到传说中的G_Server1.2.dll及G_Server1.2_hook.dll。
重新启动电脑后，病毒依旧！！！！
问题到底出在哪里？？？！！！！！

直接用汉化的KILLBOX在安全模式下删除那四个文件！

记得关闭系统还原、清理系统临时文件！

我关掉了 系统还原。但是没有清理临时文件。这重要吗？还有我怎么就只找到了一个文件G_Server1.2.exe而不是四个

顶

KILLBOX很好用吗???哪有下啊!!!!!!!!!!!!!!!!!我中了Backdoor.Gpigeon

高人何在？

O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe
灰鸽子

修复
O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe

在硬盘中搜索
G_Server1.2.exe
G_Server1.2.dll
G_Server1.2_hook.dll
G_Server1.2key.dll
找到后全部删除


附件: 364052200626111206.JPG

谢谢不言放弃！！
其他的我全部照做了，
但是我没有搜索到
G_Server1.2.dll
G_Server1.2_hook.dll
G_Server1.2key.dll
结果启动时候还是一样！！

不知道问题究竟出在哪里？？！！

引用:

【78335417的贴子】KILLBOX很好用吗???哪有下啊!!!!!!!!!!!!!!!!!我中了Backdoor.Gpigeon ...........................

KillBox 的下载地址：http://forum.ikaka.com/topic.asp?board=67&artid=5188931

原创之转帖--介绍 KillBox@Qoo 的使用
http://forum.ikaka.com/topic.asp?board=28&artid=5454397

可怜我的问题还是没有解决

重新扫个日志帖上来看看~~

把完整的贴上来。

有劳大家了：

HijackThis_815汉化版扫描日志 V1.99.1
保存于      13:35:38, 日期 2006-2-6
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\VTtrayp.exe
C:\WINDOWS\System32\VTTimer.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\wmimgrnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Tencent\QQGame\QQGame.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\PROGRA~1\Tencent\QQGame\newsj\Newsj.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Latent\QQ.exe
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\QQ2005\QQIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - IE工具栏增项: CyberArticle Express - {769A6A36-ED24-4376-BC7C-80225BF35698} - C:\Program Files\CyberArticle\CAExp.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [VTTrayp] VTtrayp.exe
O4 - 启动项HKLM\\Run: [VTTimer] VTTimer.exe
O4 - 启动项HKLM\\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [WMI Manager For NT] C:\WINDOWS\System32\wmimgrnt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\QQ2005\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\QQ2005\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\QQ2005\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ2005\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ2005\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的“工具”菜单项: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\QQ2005\QQIEHelper.dll
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O20 - AppInit_DLLs: KB9193312.LOG
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\System32\DLMain.dll
O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

我的日志也有啊~~
有人说是鸽子
我不知道是不是
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Gray_Pigedon_Serve (GrayPigdeodnServer) - Unknown owner - C:\WINNT\G_Server2.0.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - NT 服务: Universal Disk Manager - Unknown owner - C:\Program Files\Common Files\SAND\client.exe


该怎么清除~~~

顶到问题解决为止

ding

本版精华里有一篇杀灰鸽子的文章，看看就知道了

O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe
这项还存在,,所以你还有病毒
你在安全模式下,,在注册表中删了PigeonServer这个文件夹及其分支,重启,在搜G_Server1.2这个,删了就行啦,再不行就继续顶啦

搞完后再扫日志,,看看还有O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe这项吗

13楼的去注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigdeodnServer和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Universal Disk Manager删了它
重启,,再搜G_Server2.0和client把它们删了

?????

O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe
这项还存在,,所以你还有病毒
你在安全模式下,,在注册表中删了PigeonServer这个文件夹及其分支,重启,在搜G_Server1.2这个,删了就行啦,再不行就继续顶啦

-----------------------------------
我正是这么搞的。但是重新启动后瑞星仍然提示有病毒。

搞完后再扫日志,,看看还有O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\G_Server1.2.exe这项吗


--------------------------------------
搞完后重扫日志，没有了那一项。但是重新、启动电脑后又有了。郁闷！！！

具体是这样,打开注册表,找到PigeonServer这项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services/中的PigeonServer,删除!!!再重启电脑,删除G_Server1.2.exe,再打开杀毒软件杀毒!!会杀出好几个病毒,杀完了以后要是不放心,就重启再杀一次看看有没有新的问题...

23楼的有意思。要杀几次回马枪。我姑且试一下。先谢了。

还是不行。

1，关闭QQ、IE等不必要的程序~，
2，清空临时文件夹~~
IE》属性》删除文件（包括脱机文件）》确定
3，用HJ重新扫描下，并修复下面几项
O4 - 启动项HKLM\\Run: [WMI Manager For NT] C:\WINDOWS\System32\wmimgrnt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel  present
O20 - AppInit_DLLs: KB9193312.LOG
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} -  C:\WINDOWS\System32\DLMain.dll
4，显示所有文件
打开 我的电脑》工具》文件夹选项》查看》显示所有文件，不隐藏受保护的操作系统  文件》确定
5，查找并删除
C:\WINDOWS\System32\wmimgrnt.exe
C:\WINDOWS\System32\DLMain.dll
6，下面是鸽子了~~
  O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner -    C:\WINDOWS\G_Server1.2.exe
开始  》 运行 》输入  Regedit.exe  》确定
打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \

SERVICES分支，删除左栏中的病毒服务名 PigeonServer
重启系统
显示所有的文件（你前面应该已经操作过了，所以这一步省~~）
查找并删除以下文件
C:\WINDOWS\G_Server1.2.exe
及该文件夹下以G_Server1.2为文件名的DLL文件(能找到多少删多少~~）
再重启，
用杀软全盘查杀下~~~

病毒成功清除。特别感谢影子110兄！！
小弟愚钝，能否解释一下下面步骤之意义：

3，用HJ重新扫描下，并修复下面几项
O4 - 启动项HKLM\\Run: [WMI Manager For NT] C:\WINDOWS\System32\wmimgrnt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - AppInit_DLLs: KB9193312.LOG
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\System32\DLMain.dll

引用:

【天气好冷的贴子】病毒成功清除。特别感谢影子110兄！！ 小弟愚钝，能否解释一下下面步骤之意义： 3，用HJ重新扫描下，并修复下面几项 O4 - 启动项HKLM\\Run: [WMI Manager For NT] C:\WINDOWS\System32\wmimgrnt.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O20 - AppInit_DLLs: KB9193312.LOG O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\System32\DLMain.dll ...........................

就是用你扫描日志的那个软件，在扫描完成后，选中上面这几项（在前面的方框里打上勾），点下面的 修复 ，，
用这个软件中的修复可以帮你清除注册表里的一些病毒生成的注册项~~和病毒文件（当然，有时可能会清除不尽，所以就需要手工清理了~~）