瑞星卡卡安全论坛

*..我電腦的病毒是在前天晚上發覺的.當時我就用瑞星殺出來了.然後查詢這種病毒的資料一看是叫灰鴿子的什麽變種病毒..我電腦沒開網頁也很慢.CPU的使用率都是達到100%了我以为用瑞星杀了就没事.但我昨晚上开电脑时同樣運行很慢.現在也是.`同樣還存在著這個灰鴿子..我馬上就用瑞星殺毒.但是卻什麽病毒也沒殺出來.別人介紹我用卡巴來殺.`但又卡又慢不知怎麽辦才好.一直以來我最頭疼的就是電腦系統出問題和中毒了.我又不會重裝系統..看來網站上清除灰鴿子的資料都是要手工清除.可是我不太懂.怕到時弄錯了.請問高手們.你們有沒有簡單安全可靠的辦法..幫幫我吧..現在我把殺毒的日志發上來給大家看看.希望大家能夠幫幫我..小妹在此謝謝大家了.

病毒名称    处理结果    发现日期    扫描方式    路径    文件    病毒来源
Backdoor.Gpigeon.tfs    清除成功    2006-03-14 23:42    手动扫描    csrss.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-14 23:58    手动扫描    csrss.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:02    手动扫描    winlogon.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:10    手动扫描    services.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:10    手动扫描    lsass.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:10    手动扫描    svchost.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:10    手动扫描    svchost.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:10    手动扫描    svchost.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:10    手动扫描    svchost.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:10    手动扫描    svchost.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:11    手动扫描    rfwsrv.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:11    手动扫描    Explorer.EXE>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:11    手动扫描    spoolsv.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:11    手动扫描    RfwMain.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:11    手动扫描    Rundll32.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:11    手动扫描    SMAgent.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:11    手动扫描    svchost.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:11    手动扫描    yassistse.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:12    手动扫描    alg.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:12    手动扫描    rundll32.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:12    手动扫描    realsched.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:12    手动扫描    ctfmon.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:12    手动扫描    QQ.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:12    手动扫描    TIMPlatform.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:13    手动扫描    QQ.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:13    手动扫描    qqpet.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:13    手动扫描    conime.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:13    手动扫描    IEXPLORE.EXE>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:14    手动扫描    IEXPLORE.EXE>>C:\WINDOWS\Server_HOOk1.DLL        本机
Backdoor.Gpigeon.tfs    清除成功    2006-03-15 00:14    手动扫描    AgentSvr.exe>>C:\WINDOWS\Server_HOOk1.DLL        本机

【回复“永遠的淚滴”的帖子】
断开网络。
关闭IE浏览器。
1、打开注册表编辑器，搜索包含C:\WINDOWS\Server.exe的服务项。找到后删除。
2、重启系统。
3、显示隐藏文件。找到并删除下列文件：
C:\WINDOWS\Server.exe
C:\WINDOWS\文件夹中文件名包含Server的.dll文件。

*..這樣就可以完全清除掉了對嗎？.`
*..我現在試一下.`一會要是有問題我再找你幫忙哦.`
*..謝謝了.`

*..555555555555555不行.`.我是不是太笨了.``baohe..我是在注冊表裏面點了菜單編輯.然後點了查找.就把這個.C:\WINDOWS\Server.exe放進去查找的.`但是卻沒有和這個文件一樣的.`都是一些別的東西.`是不是我弄錯了.`麻煩再告訴我好嗎？.`謝謝.

引用:

【永遠的淚滴的贴子】*..555555555555555不行.`.我是不是太笨了.``baohe..我是在注冊表裏面點了菜單編輯.然後點了查找.就把這個.C:\WINDOWS\Server.exe放進去查找的.`但是卻沒有和這個文件一樣的.`都是一些別的東西.`是不是我弄錯了.`麻煩再告訴我好嗎？.`謝謝. ...........................

【搜索包含C:\WINDOWS\Server.exe的服务项】——你没明白是什么意思？
“包含C:\WINDOWS\Server.exe的服务项”的名称就一定是“C:\WINDOWS\Server.exe”？！
非也！它可以是任何其它的名称。

.我哭.``但是我看到有些是我自己的一些東西來的.`
怎麽辦.`.可以幫我嗎？.`我真想把我的注冊表給你看.`但是怎麽發給你??~

引用:

【永遠的淚滴的贴子】.我哭.``但是我看到有些是我自己的一些東西來的.` 怎麽辦.`.可以幫我嗎？.`我真想把我的注冊表給你看.`但是怎麽發給你??~ ...........................

给你个例子（看图）：
已知这个鸽子的可执行文件名及其路径是：C:\windows\G_Server.exe。
在注册表中搜索到的“包含C:\windows\G_Server.exe的服务项”的名称是GrayPigeonServer。
要删除的——就是GrayPigeonServer。
明白了？

附件: 1558472006316210101.jpg

我還是不懂.`.`你是說讓我在那一列文件裏面找到這個C:\WINDOWS\Server.exe嗎？.怎麽辦.`.對這方面我實在是太笨了.`

引用:

【永遠的淚滴的贴子】我還是不懂.`.`你是說讓我在那一列文件裏面找到這個C:\WINDOWS\Server.exe嗎？.怎麽辦.`.對這方面我實在是太笨了.` ...........................

冷静！！
给你举的那个例子，要删除的——是左面栏目中的GrayPigeonServer。这个GrayPigeonServer就叫做“包含C:\windows\G_server.exe的服务项”。它是灰鸽子建立的。

引用:

【baohe的贴子】 冷静！！ 给你举的那个例子，要删除的——是左面栏目中的GrayPigeonServer。这个GrayPigeonServer就叫做“包含C:\windows\G_server.exe的服务项”。它是灰鸽子建立的。 ...........................

baohe先生:

对于永遠的淚滴,及我这样年纪大的初级电脑学习者,我估计你这样的解答,我们掌握不了.
毕竟我们没有多少电脑知识,注册表这样尽是字符代码的东西,我们真不知如何下手.

我想,你就直接告诉我们一步一步怎么操作.

虽然这样增加你很多麻烦,但我想也许这样解答,我们能够掌握,其他是这样水平的学习者,也能够掌握.我们在学习中,自己慢慢去领会你传授的方法.

这样也许更能减少你的工作量.

【回复“60X的菜鸟”的帖子】
记得你中的一只鸽子，要删除的服务项是3。
第一步这么操作：
点击：“开始”、“运行”。
然后，在那个小窗口中键入regedit，按回车键。这样，就打开了“注册表编辑器”。
打开“注册表编辑器”后，依次点击：HKEY_LOCAL_MACHINE、SYSTEM、CURRENTCONTROLSET、SERVICES。然后，在左栏中找3（这个服务名就这么一个字符），找到后，右键点击这个3，然后点击：“删除”。
第二步操作是：重启系统。这个应该会吧？
好了。你先做这两步操作。
然后，我们再往下说。

引用:

【baohe的贴子】【回复“60X的菜鸟”的帖子】 记得你中的一只鸽子，要删除的服务项是3。 第一步这么操作： 点击：“开始”、“运行”。 然后，在那个小窗口中键入regedit，按回车键。这样，就打开了“注册表编辑器”。 打开“注册表编辑器”后，依次点击：HKEY_LOCAL_MACHINE、SYSTEM、CURRENTCONTROLSET、SERVICES。然后，在左栏中找3（这个服务名就这么一个字符），找到后，右键点击这个3，然后点击：“删除”。 第二步操作是：重启系统。这个应该会吧？ 好了。你先做这两步操作。 然后，我们再往下说。 ...........................

我已打开“注册表编辑器”,删除了左栏中的服务名"3"
左栏中有还服务名"SYSTEM"
我将再删除它.

左栏中无"HKEY_LOCAL_MACHINE,CURRENTCONTROLSET,SERVICES"
这些是在右栏中吗?
这可很难找啊.

*..謝謝大家.`我是永遠的淚滴..偶最頭疼的就是系統.注冊表的那些東東.`聽了上面兩位的發言..我現在知道一點了.`原來在在文件欄找服務項的.`剛開始我點了查找..真的好笨.`我和60X的菜鸟繼續聆聽版主你往下說.`我相信我電腦病毒一定會消滅的.`謝謝.!!

【回复“书生女孩”的帖子】
baohe大叔已经给楼主说的很情况了

楼主难道不能自己下载HIAJCKTHIS
然后自己查找灰鸽子的服务吗
找到灰鸽子服务项后
参考http://forum.ikaka.com/topic.asp?board=28&artid=7713905

实在不行
自己导出HIJACKTHIS日志

*..不言放棄.`你說的HIAJCKTHIS偶都不是很清楚.`我這方面太笨了.有些對於你們專業人士來說是很清楚的了.`但是我們這些菜鳥最想知道的是一步步的操作..我會慢慢理解的.`給你們帶來了很多的麻煩.`不好意思.`但是希望你們都能幫幫我們.`謝謝了.`~

引用:

【60X的菜鸟的贴子】 我已打开“注册表编辑器”,删除了左栏中的服务名"3" 左栏中有还服务名"SYSTEM" 我将再删除它. 左栏中无"HKEY_LOCAL_MACHINE,CURRENTCONTROLSET,SERVICES" 这些是在右栏中吗? 这可很难找啊. ...........................

你说“已经找到并删除了鸽子的服务项3”，说明你已经在HKEY_LOCAL_MACHINE,CURRENTCONTROLSET,SERVICES分支找到它。
HKEY_LOCAL_MACHINE,CURRENTCONTROLSET,SERVICES——不是显示在注册表编辑器的左栏，而是显示在注册表编辑器窗口的底部。我在6楼配的那个图已经显示的很清楚了。遗憾的是——你们不注意看。

引用:

【书生女孩的贴子】  *..不言放棄.`你說的HIAJCKTHIS偶都不是很清楚.`我這方面太笨了.有些對於你們專業人士來說是很清楚的了.`但是我們這些菜鳥最想知道的是一步步的操作..我會慢慢理解的.`給你們帶來了很多的麻煩.`不好意思.`但是希望你們都能幫幫我們.`謝謝了.`~ ...........................

其实，这里的“专业人士”极少。我也是“非专业人士”。
手工杀毒，要靠实践经验。实践经验——要靠自己动手实践积累。这个“动手实践”过程需要较好的心里素质——遇事不慌。不要轻易“投降”（认定自己这也不会，那也不会。谁都不是生来就会的。）

*..baohe~..你說得好對哦.`我同學他們就常常說我.`對於我們這些菜鳥來說.`你們就是專業人士了..以後對這方面真的要好好向你們學習了.我對這方面一點經驗都沒有.`還是首次碰到這樣的病毒.~其實昨晚偶就真的想放棄了.`感覺自己很笨.`不過幸好碰上了你們.`今晚我回去再弄.`.偶就不相信殺不了這個灰鴿子.``!嘻.,`.`