瑞星卡卡安全论坛

【回复“仅此一仙”的帖子】
注册表改动：2

附件: 1558472005827141418.JPG

【回复“baohe”的帖子】卡吧已可查

附件: 1843962005827151101.jpg

引用:

【仅此一仙的贴子】 感谢斑竹baohe提供病毒样本供测试， 有两点意见与版主提供的意见不符： 1、创建木马文件：在%system%目录下创建vxeras.sys和cpoiuyk.dll。 2、注册表改动在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\分支下添加注册表键VANTI，指向C:\windows\system32\vxeras.sys 我测试的环境是：windows xp sp1 测试过程中并没有发现这两点改变。 此外我发现注册表还有两处改动： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0 …… 测试过程我截取了21幅图片，加以说明。 限于篇幅关系，我就不一一贴上来了， 详情请访问我的个人主页： ...........................

我的电脑是Windows2000，先是用IceSword清理注册表，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\，删除：GrayPigeonServer2.0，顺手删除%windows%目录下的G_Server2.0.exe，当时没找到vxeras.sys和cpoiuyk.dll两个文件，于是重启，在安全模式下杀毒，找到并杀之。至于VANTI项，一直没找着。今天看到仅此一仙的贴子，果然发现HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0，在打开的注册表里无法删除，于是再开IceSword，手起刀落删除干净。此外，提交捆绑了木马的WMV文件至http://www.virustotal.com/flash/index_en.html进行病毒分析，结果如下：


附件: 5710742005827151409.png

请问大家backdoor.win32.delf.vk是不是和这个性质一样,我在网吧用卡巴扫了却杀不了

楼主  我是新手我也重了灰鸽子,但是我看了这上面说的几种杀毒方法对我来说,根本不起作用,灰鸽子可以自己建立服务器,一般都是要我们去注册表里面找这个东西,可我的根本没有,我又去了安全模式里面找_hook.dll,并没有找到哪个game_hook.dll
但是我的毒软明明又能找这个病毒,我现在就不晓得该怎么办了
我的灰鸽子病毒是Backdoor.Gpigeon.gz  哪位大哥帮帮嘛,加我qq嘛
154696130

灰鸽子后门,本人在半月内连中3次.瑞星对它根本无效!!!据传最近在网络中很多人都感染此病毒已成高峰期.  作为国内知名杀毒网站,瑞星对该病毒居然毫无办法,实属天大笑话!!在此强烈要求瑞星对此毒加快研究开发!!

各位网络高手，帮帮忙，我的电脑中了病毒，名为“dropper.delf.av"杀完又有，且经常死机，我该怎么办？？？？？？？？？？？？？？？？？？？？？5555555555555555555555555555555555555555555555555………………………………………………………………快来帮我啊。小弟在此谢过了！

baohe斑竹用的是文件记录软件,在机子(或虚拟系统)上运行病毒,观察其行动,记录他所改过的文件和程序和注册表,然后在恢复.难度较大,步骤要求极为严格,对系统极为熟悉,新手不要模仿.所用程序:
File Monitor(文件行为监测);Registry Monitor(注册表监测);  IRIS(网络行为监测)

附件: 5299012005827174712.jpg

关注

引用:

【baohe的贴子】 我还特意留心了一下那个.sys。 用样本感染系统后，什么都没动，立刻重启。 结果，那个.sys看来是个摆设！！ ...........................

吓一跳……以为Rootkit了

引用:

【仅此一仙的贴子】斑竹，提个建议： 1.发帖子不支持HTML源代码直接粘贴么？如果支持就好了，我就可以直接把我个人主页的文章直接发布在论坛上了，详情请看我的帖子—— http://forum.ikaka.com/topic.asp?board=28&artid=7073943 2.附件允许的最大容量为1Mb，有些工具无法提供，能否加大一些？ ...........................

我是海棠　呵呵　跟你打个招呼拉

各位楼主，我是一个刚接触电脑不到一年的新手，最近我的电脑中了“dropper.delf.av”，每次开启后，总还会有，杀了以后，重新开启又有，我快被烦死了，大家快说说有什么方法可以杀死它们，最好能有工具下载。另外我的电脑经常死机，是这个病毒惹的祸吗？求大家帮帮忙……………………555555555555555555555555555555555555555555555555555555555555555555555555555555555555

我的E-MAIL：lvseqiji@56.com，可以将回答发给我吗？若可以的话，那就谢谢谢谢谢谢了

对付病毒！毫不留情！把病毒统统粉碎！
难啊..........

谢了

这过程都有点什么味道了。

引用:

【菜鸟〉网虫〉大虾的贴子】谢了 ...........................

怎么分辨新的和老的阿？？

怎么知道System32里面的病毒阿（每个病毒都不同的）

呵呵，看完了好晕，什么时候瑞星自己能直接干掉Dropper.Delf.av啊

我和楼上一样情况，显示了也找不到，但一开机还是瑞星报告杀毒。求救！！！

我看到上面的介绍，但还是不明白。引用3、删除%windows%目录下的G_Server2.0.exe；删除%system%目录下的vxeras.sys和cpoiuyk.dll。我怎么知道我电脑里的G_Server2.0.exe以及其余的两个文件，我的意思是名子不一样我就不知道是不是了。
请交给我最通俗易懂的方法。
不胜感谢！！！！！！

毒霸已经可以杀了

引用:

【从头爱你的贴子】.....这里的斑竹镇强悍 ..... ..... 都是什么人物阿```` ...........................

我也来学习学习，请多指教

感谢楼主!!!!!!!!!!
我的电脑中Dropper.Delf.av后用瑞星查杀无果,后按所述用手工查杀方法

删除windows目录下的G_Server2.0.exe 但没找到system目录下的vxeras.sys和cpoiuyk.dll。

在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：GrayPigeonServer2.0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
未找到VANTI项

重起系统,瑞星杀毒也见不到Dropper.Delf.av提示了

引用:

【goahepd123的贴子】我看到上面的介绍，但还是不明白。引用3、删除%windows%目录下的G_Server2.0.exe；删除%system%目录下的vxeras.sys和cpoiuyk.dll。我怎么知道我电脑里的G_Server2.0.exe以及其余的两个文件，我的意思是名子不一样我就不知道是不是了。 请交给我最通俗易懂的方法。 不胜感谢！！！！！！ ...........................

其实可能c:\windows\G_Server2.0.exe和它相关的注册表指向才是根源,中招的都有这两点,解决这两个地方就OK了