病毒分类  WINDOWS下的PE病毒 病毒名称  Backdoor.Gpigeon.uql 　
别    名  　病毒长度   
依赖系统  传播途径  　
行为类型  WINDOWS下的木马程序 感    染  　
病毒发作瑞 星 版 本 号 　  18.08.41
灰鸽子后门程序
感染的文件位置是：C:\Program Files\Internet Explorer\iexplore.exe

HijackThis@Qoo的扫描日志  V1.97.7
Scan saved at 19:09:27, on 2006-2-4
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\rising\Rav\RavStub.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\SkyNet\FireWall\PFWmain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\rising\Rav\RavTask.exe
C:\Program Files\rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\rising\Rav\Rav.exe
C:\Program Files\rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\石雷\HijackThis.exe

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: (no name) - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O3 - Toolbar: ????? - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFWmain.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RavScanBD] "C:\Program Files\rising\Rav\ScanBD.exe" /INST
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: netfxsl.log
O4 - Startup: langpackSetup.log
O4 - Startup: dotNetFx.log
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: sys_log_1211337161.upt
O4 - Startup: ntuser.dat
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\
O8 - Extra context menu item: 百度-搜索MP3 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度-搜索图片 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度-搜索新闻 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度-搜索歌词 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度-搜索网页 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度-搜索贴吧 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: 百度-词典搜索 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDU_DIC.HTM
O9 - Extra button: QQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137724629134
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E71E6AA-2ACB-4CF5-8516-086048D7BB0D}: NameServer = 202.98.0.68 202.99.166.4
    怎么弄？系统从新做吗？

【回复“shilei2888554”的帖子】
  不问了`
    明天重新做系统吧

不要啊，楼主！我的和你的症状一模一样。
急切问，怎么办呢？
我得不方便重装阿
谢谢谢谢谢谢啦！

在Windows 9x系统中，它可以建立一个G_Server.exe的启动项，在Windows 2000/XP等系统中它建立的是服务，当感染系统后，G_Server.dll插入到Explorer.exe或IExplore.exe的进程中，G_Server_Hook.DLL则会插入到全部的进程中，大家在处理的时候也感觉有些麻烦。

　　这个灰鸽子（GrayPigeonServer）还使用了某些技术把自身文件和服务信息隐藏起来，使得大家在正常模式下根本找不到这三个病毒文件。怎么办呢？我们还是有办法搞定它。

　　在Windows 9x系统中，你可以先找到病毒建立的那个启动项，把它删除，然后重新启动计算机，重启后尝试找到并删除那三个文件。在Windows 2000/XP的系统中，你可以先把它建立的服务去掉，到注册表编辑器中找到它所建立的那个服务，打开注册表编辑器先定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，然后再找它建立的服务项，比如GrayPigeonServer，找到后删除它并重新启动计算机，重启后查找删除那三个病毒文件就行，这样就不是很麻烦了请到安全模式下

在系统盘中搜索所有带有G_SERVER字样的文件 [EXE和DLL]

然后删除

这个病毒的DLL文件可能注入到系统文件进程中了

删除后可能有一些东西需要您在手动处理一下 

所有文件属性只读、隐藏、系统

并且

文件在WINDOWS或SYSTEM32目录下

并且

文件名中含有 KEY 、HOOK、SERVER、SETUP、UNINSTALL 的文件都请小心

***************************************************
_线前面的名称是可以更换的，我刚拿到了个鸽子，名字是:IEXPLORE_Hook.DLL，没有反病毒软件能查杀

例如：

help.exe
help.dll
helpKey.dll
help_Hook.dll

uinstall.exe
uinstall.dll
uinstallKey.dll
uinstall_Hook.dll

G_Server.exe
G_Server.dll
G_ServerKey.dll
G_Server_Hook.dll

QQ.exe
QQ.dll
QQKey.dll
QQ_Hook.dll

IEXPLORE.exe
IEXPLORE.dll
IEXPLOREKey.dll
IEXPLORE_Hook.dll

Setup.exe
Setup.dll
SetupKey.dll
Setup_Hook.dll


所以保险起见，建议搜索常见的字符,如： QQ、IEXPLORE、G_SERVER、HOOK 等

搜索前要进入安全模式、打开查看系统和隐藏文件选项 打开显示所有文件选项