【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«11 12 13 141516 17 18

15 / 18 页

跳转页

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2006-01-16 13:37 \| 显示全部短消息资料字号：小中大 141楼【回复“当那个当”的帖子】以下修复中的操作可参考: 【系统修复系列之】基本操作索引 http://endurer.blogchina.com/2591241.html 重新启动到安全模式停止并禁用服务：geonerver 如果使用了系统还原功能, 请先关闭此功能。设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名寻找如下文件: C:\WINDOWS\serdex.exe C:\WINDOWS\serdex.DLL C:\WINDOWS\serdex_Hook.DLL C:\WINDOWS\serdex_key.DLL 先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目： F2 - REG:system.ini: UserInit=userinit.exe, O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&debug=true&pid=c_95&url=http://client.jogo.cn/download/cnnic/cdn.cab O23 - NT 服务: geonerver - Unknown owner - C:\WINDOWS\serdex.exe 清空IE临时文件夹
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2006-01-16 13:42 | 显示全部 短消息资料

字号：小中大 142楼

引用:

【悟不空1999的贴子】ME，TOO
大哥帮忙看一下：
O23 - NT 服务: Bluetooth Service (btwdins) - Unknown owner - D:\新建文件夹 (4)\bin\btwdins.exe (file missing)
O23 - NT 服务: KVSrvXP - JiangMin New Tech Ltd. - C:\PROGRA~1\KV2005\KVSrvXP.exe
O23 - NT 服务: Windows NetWork Services (Windows NewWork Services) - Unknown owner - C:\WINDOWS\msnmsg.exe
O23 - NT 服务: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing)

...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：Windows NetWork Services (Windows NewWork Services)

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\msnmsg.exe
C:\WINDOWS\msnmsg.DLL
C:\WINDOWS\msnmsg_Hook.DLL
C:\WINDOWS\msnmsg_key.DLL

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

清空IE临时文件夹

如果问题还不能解决，请使用HijackThis扫描log完整地发上来，方便大家分析讨论。

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2006-01-16 13:43 | 显示全部 短消息资料

字号：小中大 143楼

引用:

【我是呵呵后的贴子】现在病毒越来越厉害

我下了个36K大小的东西，双点它它就不见了不知道是不是病毒，
现在经常看看防火强经常报告有程序要访问特定的IP地址

用瑞星和木马客星没有查出来
...........................

请把防火墙的日志导出贴上来，方便大家分析。

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2006-01-16 13:46 | 显示全部 短消息资料

字号：小中大 144楼

引用:

【Spiderf的贴子】flash7.ocx是鸽子的木马吗？
...........................

不知这个文件是在哪个文件夹中？

它可能是播放flash的插件，你可以检查该文件的属性加以确认。

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2006-01-16 13:50 \| 显示全部短消息资料字号：小中大 145楼【回复“ANAWY”的帖子】以下修复中的操作可参考: 【系统修复系列之】基本操作索引 http://endurer.blogchina.com/2591241.html 重新启动到安全模式停止并禁用服务：Wireless Configuration 卸载：淘宝旺旺如果使用了系统还原功能, 请先关闭此功能。设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名寻找如下文件: C:\WINDOWS\system32\ScvHost.exe C:\WINDOWS\system32\ScvHost.DLL C:\WINDOWS\system32\ScvHost_Hook.DLL C:\WINDOWS\system32\ScvHost_key.DLL 先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目： F2 - REG:system.ini: UserInit=userinit.exe, O4 - 启动项HKLM\\Run: [WangWang] "C:\Program Files\淘宝网\淘宝旺旺\WangWang.EXE" O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} (CNNIC_IDN) - http://client.jogo.cn/download/cnnic/cdn.cab O23 - NT 服务: Wireless Configuration - Unknown owner - C:\WINDOWS\system32\ScvHost.exe 清空IE临时文件夹
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2006-01-19 14:13 \| 显示全部短消息资料字号：小中大 146楼【回复“我不是黑人”的帖子】以下修复中的操作可参考: 【系统修复系列之】基本操作索引 http://endurer.blogchina.com/2591241.html http://endurer.bokee.com/2591241.html 重新启动到安全模式停止并禁用服务：Remote Procedure Call Server 如果使用了系统还原功能, 请先关闭此功能。设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名寻找如下文件: C:\WINDOWS\pashost.exe C:\WINDOWS\pashost.DLL C:\WINDOWS\pashost_Hook.DLL C:\WINDOWS\pashost_key.DLL 先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目： O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O23 - NT 服务: Remote Procedure Call Server - Unknown owner - C:\WINDOWS\pashost.exe 清空IE临时文件夹
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2006-01-19 14:16 | 显示全部 短消息资料

字号：小中大 147楼

引用:

【神的肢体的贴子】怎么下载不了专杀工具啊？
...........................

瑞星提供的灰鸽子专杀工具的下载页面:

http://it.rising.com.cn/service/technology/Ravgpk_Download.htm

刚刚测试,可以正常下载.

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2006-01-24 12:14 | 显示全部 短消息资料

字号：小中大 148楼

引用:

【我不是黑人的贴子】下面是我的日志,请班竹帮忙分析一下
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 20:51:30, 日期 2006-1-16
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html
http://endurer.bokee.com/2591241.html
重新启动到安全模式
停止并禁用服务：O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer)
如果使用了系统还原功能, 请先关闭此功能。
设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名
寻找如下文件:
D:\WINDOWS\G_Server.exe
D:\WINDOWS\G_Server.DLL
D:\WINDOWS\G_Server_Hook.DLL
D:\WINDOWS\G_Server_key.DLL
先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。
关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - NT 服务: Remote Procedure Call Server - Unknown owner - C:\WINDOWS\pashost.exe

清空IE临时文件夹

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2006-01-24 12:17 | 显示全部 短消息资料

字号：小中大 149楼

引用:

【xuechao86的贴子】同胞们我也有同样的遭遇,总是有那么一个鸽子在我的C:\Documents and Settings\Administrator\Local Settings\Temp
下,而且是每次玩网络游戏时查出来,删了还有...
而且也是总有那么一个蠕虫病毒在我的C:\WINDOWS\explorer.exe里
怎么杀都杀不掉,杀了之后,第二天还出来,怎么回事呀???请求支援
我刚才进入安全模式下，查毒没有查出，可重起后，打开那个游戏之后又出来了，木马和蠕虫总是一起出来，按原路找回还没有，怎么回事？请求帮助

...........................

请先尝试清空IE临时文件夹

1。关闭所有浏览器窗口和文件夹窗口

　　2。打开Internet选项窗口
　　方法1：在桌面的Internet Explorer图标上点击鼠标右键，从弹出的菜单中选择“属性”。
　　方法2：开始-->设置-->控制面板-->Internet选项；关闭“控制面板”窗口

　　3。选择“常规”选项卡

　　4。点击“删除文件”按钮

　　5。在弹出的“删除文件”对话框中，把“删除所有脱机内容”选定，点击“确定”按钮。

如果问题还不能解决,请把杀毒软件的报告和hijackThis扫描的log发上来,方便大家分析.

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2006-01-24 12:18 | 显示全部 短消息资料

字号：小中大 150楼

引用:

【xuechao86的贴子】不好意思　，我扫描的发不上去，说字数太多了，怎么办呀？
...........................

你可以把log分开发到几个回复贴子里.

<<上一主题|下一主题>>

«11 12 13 141516 17 18

15 / 18 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)