今日发现Backdoor.Gpigeon.ugu（开机自动发现）杀后再次扫描 消失。但再重启后仍然可以发现Backdoor.Gpigeon.ugu。路径为EXPLORER.EXE>>C:\PROGRAM FILES\INTERNET EXPLORER\EXPLORER.EXE..上网搜索了一下发现有很多人都有这个问题。
依照某些其他鸽子版本的解决方法即搜索_hook.dll后发现C:\WINNT下有文件mag_hool.dll（我用的是2000）并且没有发现mag.exe等其他2个文件。mag_hook.dll应为系统文件大小为86K左右。同时在DOS下搜索了下端口并未发现8225。很奇怪的一个问题，是否瑞星误报？有同样问题或者有解决方法的朋友请跟帖。谢谢

mag_hook.dll是微软本的“放大镜”的动态链接库文件

建议您下载并使用HijackThis1.99.1
HijackThis1.99.1下载地址:
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
用HijackThis扫描系统，然后把日志贴上来

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\rising\Rav\CCenter.exe
C:\Program Files\rising\Rav\Ravmond.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Program Files\rising\Rav\RavStub.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\sfmprint.exe
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\SyberGen\SyGate\sgserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\SyberGen\SyGate\SyGate.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I3X1.EXE
C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
C:\Program Files\rising\Rav\RavTask.exe
C:\Program Files\rising\Rav\Ravmon.exe
C:\WINNT\system32\internat.exe
C:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
C:\WINNT\system32\Rundll32.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\cmd.exe
D:\工具\金山词霸2003\jscb2003\XDICT.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\UPEngine.EXE
H:\hj\HijackThis.exe

楼主C:\WINNT下的文件mag_hool.dll  应是病毒文件，可按baohe版主的方法查杀

假设mag_hook.dll是病毒文件的话应该在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下也能找到相的_hook.exe文件可是现在没有。另外就是：
mag_hook.dll (5.1.2600.0)
包含在软件
名字: Windows XP Home Edition, Deutsch
执照: 商业
信息链接: http://www.microsoft.com/windowsxp/
文件细节
文件道路: C:\WINDOWS\system32 \ mag_hook.dll
文件日期: 2002-08-29 14:00:00
版本: 5.1.2600.0
文件大小: 8.192 字节
检查和和文件hashes
CRC32: D4DACE
MD5: BE68 1AF7 BCB0 5ABD A7D5 7EC2 CC2E 51B0
SHA1: 42E9 E42F 09F1 4654 F83C 366F E122 0B7E A201 55A3
版本资源信息
公司名称: Microsoft Corporation
文件描述: Microsoft Magnifier hook library file
文件操作系统: Windows NT, Windows 2000, Windows XP, Windows 2003
文件类型: Application
文件版本: 5.1.2600.0
内部名: Mag_Hook
法律版权: © Microsoft Corporation. All rights reserved.
原始的文件名: Mag_Hook.dll
产品名称: Microsoft® Windows® Operating System
产品版本: 5.1.2600.0

mag_hook.dll是系统正常的文件

建议导出全部日志

我用norton查到了但杀不掉，还是感觉瑞星牛一点哦。

到johnnyxp.ys168.com.试一下我个人收藏的灰鸽子全能专杀工具.个人试多许多灰鸽子专杀版..这个是最有用的

专杀工具用过了 没有发现。我怀疑是否是灰鸽子或者是误报？连接网络后NETSTAT -A 没有发现打开8225。

升级到最新版本，问题仍没有解决继续追帖询问