Backdoor.Win32.Gpigeon2008.aou 杀不死，开机就有高手进 bbs.ikaka.com

纪文笛2008 - 2009-2-12 11:55:00

Backdoor.Win32.Gpigeon2008.aou 杀不死，开机就有。

病毒名称 Backdoor.Win32.Gpigeon2008.aou 清除成功

路径 C:\Program Files\Internet Explorer IEXPLORE.EXE 本地服务器

sreng2扫描报告

附件: SREngLOG.log (2009-2-12 11:55:28, 65.33 K)
该附件被下载次数 135

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)

纪文笛2008 - 2009-2-12 13:10:00

不要看了，报告错了。杀完毒扫描的。

ASkill - 2009-2-12 13:25:00

现在情况怎么了？

天月来了 - 2009-2-12 13:32:00

下面的是什么呢？？这软件好玩么？？很需要？？？
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<99CU><D:\99cu\9158IM\99Lover.exe> [File is missing]
<9158CamMonitor><D:\9158v2.1\9158VirtualCamera\9158Notify.EXE> []
==================================
驱动程序
[9158cap, WDM Video Capture / 9158CAP][Running/Auto Start]
<system32\DRIVERS\9158cap.sys><www.9158.com>

这一个呢？？又是什么？？？
==================================
服务
[NVIDIA Dissplay Drilverv / NVIDIA Dissplay Drilverv][Stopped/Auto Start]
<C:\WINDOWS\guocyok88.exe><Microsoft Corporation>>

纪文笛2008 - 2009-2-12 14:39:00

服务

[NVIDIA Dissplay Drilverv / NVIDIA Dissplay Drilverv][Stopped/Auto Start]
<C:\WINDOWS\guocyok88.exe><N/A>

文件怎么找啊，怎么删除啊。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)

文物2 - 2009-2-12 14:41:00

您可以下载SREng

打开后点智能扫描．勾选检查进程模块的数字签名，点扫描．把日志以log日志导出并作为附件贴到论坛里．

第二楼见SREng操作方法

天月来了 - 2009-2-12 14:49:00

下载文件提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINDOWS\guocyok88.exe

不论提取结果如何，压缩发来看看

纪文笛2008 - 2009-2-12 14:50:00

服务

[NVIDIA Dissplay Drilverv / NVIDIA Dissplay Drilverv][Stopped/Auto Start]
<C:\WINDOWS\guocyok88.exe><N/A>

在哪里啊

文物2 - 2009-2-12 15:12:00

服务

[NVIDIA Dissplay Drilverv / NVIDIA Dissplay Drilverv][Stopped/Auto Start]
<C:\WINDOWS\guocyok88.exe><N/A>

在哪里啊

您需要提取工具．．参考第七楼，使用说明在工具包里．

纪文笛2008 - 2009-2-12 15:21:00

提取出来了。谢了，哈哈。

附件: guocyok88.rar

天月来了 - 2009-2-12 15:27:00

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\guocyok88.exe
不论删除结果如何立即重启电脑，看情况如何。

RisingCSC - 2009-2-12 15:30:00

引用:

原帖由 纪文笛2008 于 2009-2-12 15:21:00 发表
提取出来了。谢了，哈哈。

您所上报的文件已经收集，有结果会给您回复。

纪文笛2008 - 2009-2-12 15:48:00

用费尔清除抑制过了，开机后Backdoor.Win32.Gpigeon2008.aou 还在哪里。

C:\WINDOWS\guocyok88.exe还在。

附件: SREngLOG.log (2009-2-12 15:48:12, 58.76 K)
该附件被下载次数 121

附件: 瑞星杀毒.txt (2009-2-12 15:48:12, 8.35 K)
该附件被下载次数 148

天月来了 - 2009-2-12 15:57:00

C:\Program Files\Internet Explorer\IEXPLORE.EXE的文件压缩发来看

下载这工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=459970

按照说明图操作删除：

C:\WINDOWS\guocyok88.exe

天月来了 - 2009-2-12 15:57:00

下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

RisingCSC - 2009-2-12 16:58:00

文件名：guocyok88.exe

病毒名：Backdoor.Win32.Gpigeon2008.arj

您所上报的病毒文件将在瑞星2009的21.16.40版本中处理解
决，如遇特殊情况可能会推后几个版本。

瑞星卡卡安全论坛