【求助】懂灰鸽子的进

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】懂灰鸽子的进

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

LZPHOTSAUCE 初生襁褓狮帖子:26 注册: 2006-08-21 来自:	发表于： 2006-11-01 20:04 \| 只看楼主短消息资料字号：小中大 1楼【求助】懂灰鸽子的进我今天早晨用瑞星最新版杀毒，杀出了Backdoor.Gpigeon.jmu 路径是IEXPLORE.EXE>>C:\Program files\Internet Exprorer\IEXPLORE.EXE 这是我的日志，请您帮着分析一下，以前我中的灰鸽子用木马克星扫描内存就可以杀了，这次杀不到，用瑞星杀了，從起又有了。我机器里又很多重要文件，我不想格机器，请您帮个忙，告诉该怎样查杀，谢谢了。 HijackThis_815汉化版扫描日志 V1.99.1 保存于 17:49:23, 日期 2006-11-1 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Unable to get Internet Explorer version! 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\瑞星\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\瑞星\Rising\Rav\Ravmond.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\瑞星\Rising\Rav\RavStub.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\rundll32.exe D:\瑞星\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe D:\瑞星\Rising\Rav\Ravmon.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe D:\QQ珊瑚虫\QQ\QQ.exe D:\QQ珊瑚虫\QQ\TIMPlatform.exe D:\TT\TTraveler.exe C:\Program Files\Internet Explorer\iexplore.exe D:\TT\TCPlus.exe C:\Documents and Settings\HELLBOY\My Documents\临时文件夹\Hijackthis1991zww\HijackThis1991zww.exe O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yphtb.dll O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - 启动项HKLM\\Run: [yassistse] rem "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe" O4 - 启动项HKLM\\Run: [RavTask] "D:\瑞星\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - 启动项HKLM\\RunOnce: [RavStub] "D:\瑞星\Rising\Rav\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - 浏览器额外的按钮: 雅虎WIDGET - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing) O11 - Options group: [!CNS] 中文上网 O16 - DPF: {BF8C499A-AC6E-4F58-82EA-9E5FCC41C34B} (PicUploadCtrl Class) - http://tb.sogou.com/PicUpload.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{748B4E16-BB19-4C12-BF93-4D403E3E48EC}: NameServer = 202.106.0.20 202.106.46.151 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\CCenter.exe O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\Ravmond.exe O23 - NT 服务: Update Server - Unknown owner - C:\Program.exe (file missing) 2006-11-02 10:45:52
LZPHOTSAUCE 初生襁褓狮帖子:26 注册: 2006-08-21 来自:	分享到：

之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:	发表于： 2006-11-01 20:08 \| 短消息资料字号：小中大 2楼 O23 - NT 服务: Update Server - Unknown owner - C:\Program.exe (file missing) 问题所在
之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:

初生襁褓狮

帖子:26
注册: 2006-08-21
来自:

发表于： 2006-11-01 20:10 | 只看楼主 短消息资料

字号：小中大 3楼

引用:

【之乎者也的贴子】O23 - NT 服务: Update Server - Unknown owner - C:\Program.exe (file missing)
问题所在
………………

能说详细点么朋友，删除他的路径是什么？谢谢了

之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:	发表于： 2006-11-01 20:11 \| 短消息资料字号：小中大 4楼先尝试hijackthis是否可以修复
之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:

我不是你的天使拙长孩提狮帖子:116 注册: 2006-04-01 来自:	发表于： 2006-11-01 20:15 \| 短消息资料字号：小中大 5楼 backdoor.gpigeon是灰鸽子后门程序，用瑞星杀除后会再次出现。可下载专杀工具，地址为：灰鸽子 Vip 2005 清除器 http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip BlackHole&灰鸽子后门专杀工具 http://www.cert.org.cn/articles/tools/common/2005051322256.shtml 现在流行的灰鸽子版本繁多，还不时有新版本出现。感染系统后，灰鸽子的DLL或DAT插入系统当前的多个进程中。因而，这个木马很难杀。中招后，很多杀软（包括卡巴斯基这样的名杀软）都不能顺利搞掂这个木马。目前最有效的方法还是手工查杀。灰鸽子2005：现在如果遇到这种灰鸽子病毒，在删除文件时要注意这样四种形式的病毒文件[病毒文件里大多数是隐藏属性的文件，查找删除前请先显示所有文件和文件夹（包括受保护的系统文件）]：常见的有：1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll 2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll 3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll 可能有些文件名不同，不过都是这个规律.exe , .dll , *_Hook.dll 清除的方法: Windows 9X/Me系统可以尝试先将它的启动项去掉。 Windows 2000/XP/2003系统到注册表编辑器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下查找“文件名.EXE”，然后删除，重新启动后就能直接将那些病毒文件删除掉了。想了解更多灰鸽子，可进入：http://forum.jiangmin.com/printpage.asp?BoardID=24&ID=409734
我不是你的天使拙长孩提狮帖子:116 注册: 2006-04-01 来自:

初生襁褓狮

帖子:26
注册: 2006-08-21
来自:

发表于： 2006-11-01 20:16 | 只看楼主 短消息资料

字号：小中大 6楼

引用:

【之乎者也的贴子】先尝试hijackthis是否可以修复
………………

无法修复，修复完了还有

快乐黄口狮

帖子:170
注册: 2006-06-02
来自:

发表于： 2006-11-01 20:18 | 短消息资料

字号：小中大 7楼

引用:

【我不是你的天使的贴子】backdoor.gpigeon是灰鸽子后门程序，用瑞星杀除后会再次出现。可下载专杀工具，地址为：

灰鸽子 Vip 2005 清除器
http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip

BlackHole&灰鸽子后门专杀工具
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml

现在流行的灰鸽子版本繁多，还不时有新版本出现。感染系统后，灰鸽子的DLL或DAT插入系统当前的多个进程中。因而，这个木马很难杀。中招后，很多杀软（包括卡巴斯基这样的名杀软）都不能顺利搞掂这个木马。目前最有效的方法还是手工查杀。

灰鸽子2005：
现在如果遇到这种灰鸽子病毒，在删除文件时要注意这样四种形式的病毒文件[病毒文件里大多数是隐藏属性的文件，查找删除前请先显示所有文件和文件夹（包括受保护的系统文件）]：
常见的有：1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll
2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll
3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll
可能有些文件名不同，不过都是这个规律*.exe , *.dll , *_Hook.dll
清除的方法:
Windows 9X/Me系统可以尝试先将它的启动项去掉。
Windows 2000/XP/2003系统到注册表编辑器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下查找“文件名.EXE”，然后删除，重新启动后就能直接将那些病毒文件删除掉了。

想了解更多灰鸽子，可进入：http://forum.jiangmin.com/printpage.asp?BoardID=24&ID=409734

………………

怀疑广告贴……

快乐黄口狮

帖子:170
注册: 2006-06-02
来自:

发表于： 2006-11-01 20:19 | 短消息资料

字号：小中大 8楼

引用:

【LZPHOTSAUCE的贴子】
无法修复，修复完了还有
………………

我记着网警在坛子里给过个解决方法

之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:	发表于： 2006-11-01 20:21 \| 短消息资料字号：小中大 9楼关闭所有IE窗口，到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services查找 Update Server ，有则删之。重启，删除C:\Program.exe（显示隐藏文件）
之乎者也初生襁褓狮帖子:426 注册: 2005-07-25 来自:

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-11-01 20:22 \| 短消息资料字号：小中大 10楼要System Repair Engineer日志
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

LZPHOTSAUCE 初生襁褓狮帖子:26 注册: 2006-08-21 来自:	发表于： 2006-11-01 20:04 \| 只看楼主短消息资料字号：小中大 1楼【求助】懂灰鸽子的进我今天早晨用瑞星最新版杀毒，杀出了Backdoor.Gpigeon.jmu 路径是IEXPLORE.EXE>>C:\Program files\Internet Exprorer\IEXPLORE.EXE 这是我的日志，请您帮着分析一下，以前我中的灰鸽子用木马克星扫描内存就可以杀了，这次杀不到，用瑞星杀了，從起又有了。我机器里又很多重要文件，我不想格机器，请您帮个忙，告诉该怎样查杀，谢谢了。 HijackThis_815汉化版扫描日志 V1.99.1 保存于 17:49:23, 日期 2006-11-1 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Unable to get Internet Explorer version! 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\瑞星\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\瑞星\Rising\Rav\Ravmond.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\瑞星\Rising\Rav\RavStub.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\rundll32.exe D:\瑞星\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe D:\瑞星\Rising\Rav\Ravmon.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe D:\QQ珊瑚虫\QQ\QQ.exe D:\QQ珊瑚虫\QQ\TIMPlatform.exe D:\TT\TTraveler.exe C:\Program Files\Internet Explorer\iexplore.exe D:\TT\TCPlus.exe C:\Documents and Settings\HELLBOY\My Documents\临时文件夹\Hijackthis1991zww\HijackThis1991zww.exe O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yphtb.dll O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - 启动项HKLM\\Run: [yassistse] rem "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe" O4 - 启动项HKLM\\Run: [RavTask] "D:\瑞星\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - 启动项HKLM\\RunOnce: [RavStub] "D:\瑞星\Rising\Rav\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - 浏览器额外的按钮: 雅虎WIDGET - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing) O11 - Options group: [!CNS] 中文上网 O16 - DPF: {BF8C499A-AC6E-4F58-82EA-9E5FCC41C34B} (PicUploadCtrl Class) - http://tb.sogou.com/PicUpload.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{748B4E16-BB19-4C12-BF93-4D403E3E48EC}: NameServer = 202.106.0.20 202.106.46.151 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\CCenter.exe O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\Ravmond.exe O23 - NT 服务: Update Server - Unknown owner - C:\Program.exe (file missing) 2006-11-02 10:45:52
LZPHOTSAUCE 初生襁褓狮帖子:26 注册: 2006-08-21 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】懂灰鸽子的进

【求助】懂灰鸽子的进

【求助】懂灰鸽子的进

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】懂灰鸽子的进