斩杀灰鸽子Backdoor.Gpigeon.gqs/Backdoor.Win32.Hupigon.cce等

来源：互联网发布：淘宝电商运营什么意思编辑：程序博客网时间：2024/05/03 05:16

endurer　原创

2006.11.10　第1版

一位网友的电脑最近运行速度超慢，让偶帮忙检查看看。
通过QQ远程协助进行。

到 http://endurer.ys168.com 下载 HijackThis 扫描log，发现如下可疑项：
/----------
Logfile of HijackThis v1.99.1
Scan saved at 10:18:40, on 2006-11-10
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)

F3 - REG:win.ini: load=?矵?

O4 - HKLM/../Run: [LogFeil] regedit -s C:/$NtUninstallQ8875736$/WINSYS.cer

O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:/WINDOWS/System32/mbprot.dll

O18 - Protocol: mbox - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:/WINDOWS/System32/mbprot.dll

O23 - Service: Windows DDOSServer (DDOSServer) - Unknown owner - C:/WINDOWS/System32/jgdr.exe
----------/

C:/$NtUninstallQ8875736$/WINSYS.cer这是个很古老的病毒了，可参考：
又杀了一批病毒（第3版）
http://endurer.bokee.com/3938079.html

C:/WINDOWS/System32/jgdr.exe 使用的是IE网页图标，相当有迷惑性。Kaspersky 报为 Backdoor.Win32.Hupigon.cce，Dr.Web报为：BackDoor.Pigeon.341，瑞星报为：Backdoor.Gpigeon.gqs。

停止并禁用服务：Windows DDOSServer (DDOSServer)

用WinRAR找到下列文件并删除：
C:/WINDOWS/System32/jgdr.exe
C:/WINDOWS/System32/mbprot.dll

删除文件夹：C:/$NtUninstallQ8875736$

用HijackThis修复上列可疑项目。

清空IE临时文件夹