【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

123 4 5 6 7 8 »

2 / 18 页

跳转页

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2005-11-22 13:19 | 显示全部 短消息资料

字号：小中大 11楼

引用:

【影子110的贴子】还有，，，为什么明明杀软已经可以杀此毒了，可是，每次都清除，却每次都会再出来，，，（其实，有时只是缓存里的病毒没有清除，，，为什么杀软总是会把那里给忽视了呢~~~？？？）
...........................

因为一些文件夹是受系统保护的。可参考：

【原创】电脑病毒清除不干净的原因
http://endurer.blogchina.com/1963463.html
（ttp://endurer.blogchina.com/1963463.html）

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-23 21:29 \| 显示全部短消息资料字号：小中大 12楼【回复“eveliang”的帖子】下面这项是灰鸽子的启动项： O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe 建议（有关操作可以参考顶楼文章中的有关链接）：请参考baohe版主的贴子确认灰鸽子的其它几个文件重新启动计算机到到安全模式下停止并禁用服务:Gray_Pigeon_Server2.0 关闭所有浏览器和文件夹窗口，用HijackThis修复以下项目： O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll O4 - 启动项HKLM\\Run: [NbFloatBar] C:\NetBar\NbStart.exe(这一项是否为网易提供的？请确认) O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe 设置系统显示所有文件和文件夹如果以下文件存在，则删除： C:\WINDOWS\system32\hap.dll C:\WINDOWS\system32\winhtp.dll C:\WINDOWS\system32\mbprot.dll C:\WINDOWS\G_Server2.0.exe 灰鸽子的其它几个文件清空IE临时文件夹禁用系统还原功能重新启动电脑，启用系统还原功能。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-23 21:31 \| 显示全部短消息资料字号：小中大 13楼【回复“naming”的帖子】 HijackThis和瑞星等杀毒软件的功能/用途并不完全相同，没有必要因为有了HijackThis而放弃杀毒软件。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-23 21:34 \| 显示全部短消息资料字号：小中大 14楼【回复“eveliang”的帖子】如你的Windows系统启用了系统还原功能，建议你先闭系统还原功能，再用杀毒软件全面查杀。清空IE临时文件夹禁用系统还原功能重新启动电脑，如果原先使用了系统还原功能，现在可以启用系统还原功能。检查是否有新的系统补丁需要打。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2005-11-23 21:40 | 显示全部 短消息资料

字号：小中大 15楼

引用:

【福泽天下的贴子】我也中毒了，大虾说是灰鸽子，可是偶不会杀他，怎么办？就是下边这个进程说是灰鸽子．
23 - NT 服务: Macromedia Licensing (Authorization) - Unknown owner - C:\WINDOWS\LogicalDisk.exe
...........................

看起来确实很可疑。杀毒软件没报吗？

请打开Winrar，找到C:\WINDOWS\LogicalDisk.exe这个文件，打包发到endurer@163.com，

另外，请参考baohe版主发的关于灰鸽子的贴子，看看是否有灰鸽子的其它文件存在，加以确认。

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-23 22:11 \| 显示全部短消息资料字号：小中大 16楼【回复“judaswf”的帖子】下面这项可能是灰鸽子的服务启动项： O23 - Service: SYSTEM32 - Unknown owner - C:\WINDOWS\SCHOOST.EXE 建议（有关操作可以参考顶楼文章中的有关链接）：请参考baohe版主的贴子确认灰鸽子的其它几个文件重新启动计算机到到安全模式下停止并禁用服务:SYSTEM32 - Unknown owner 关闭所有浏览器和文件夹窗口，用HijackThis修复以下项目： O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing) O2 - BHO: BrowserHAP Class - {AEF6F648-78D8-4456-BEE7-5ADE23D209FD} - C:\Program Files\HBClient\hapast.dll O4 - HKLM\..\Run: [hbpassport] C:\PROGRA~1\HBCLIENT\hbast.exe O23 - Service: SYSTEM32 - Unknown owner - C:\WINDOWS\SCHOOST.EXE 设置系统显示所有文件和文件夹如果以下文件存在，则删除： C:\WINDOWS\System32\aclayer.dll C:\WINDOWS\SCHOOST.EXE 灰鸽子的其它几个文件删除文件夹C:\Program Files\HBClient 用Winrar进入C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp，删除里面的文件和文件夹清空IE临时文件夹禁用系统还原功能重新启动电脑，启用系统还原功能。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-24 21:49 \| 显示全部短消息资料字号：小中大 17楼【回复“福泽天下”的帖子】请先设置系统显示所有文件和文件夹，不隐藏已知文件的扩展名。具体操作可参考：【系统修复系列之】如何显示所有的文件和文件夹http://endurer.bokee.com/2590659.html(http://endurer.bokee.com/2590659.html) 再找到C:\WINDOWS\LogicalDisk.exe，用压缩软件（如Winrar）打包发到endurer@163.com。或者用QQ远程协助。我会用悄悄话把我的QQ号发给你。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-24 21:53 \| 显示全部短消息资料字号：小中大 18楼【回复“XXJHXF”的帖子】请参考：瑞星杀毒时提示“需要解压”怎么办？ http://forum.ikaka.com/topic.asp?board=28&artid=5216854
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-24 21:59 \| 显示全部短消息资料字号：小中大 19楼【回复“乖℃”的帖子】如果你的电脑工作不正常，请说明情况。建议：关闭所有浏览器和文件夹窗口，使用HijackThis修复下面的项目： R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-24 22:02 \| 显示全部短消息资料字号：小中大 20楼【回复“jovin”的帖子】你的LOG中没有发现可疑的项目。如果你的电脑工作不正常，请说明情况。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

<<上一主题|下一主题>>

123 4 5 6 7 8 »

2 / 18 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)