我无邪 - 2006-5-13 13:49:00
这是中国联通广西分公司的网站
http://1015678.gx165.com/
登陆后,首先会自己运行,在右边会有一个帮助小窗口,仅仅一会就会悄失。
我觉查不对,SSM报C:\WINDOWS\system32\mshta要运行
接着在任务栏下会有,C:\kig.hta
然后,报有个叫Server的程序要插入进程,我就一次次的让它运行
在C盘根目录下会生成KingDown.exe和King.hta
好,我重启瞅瞅
用SREng扫描能发现一个可疑的服务,这个服务的程序在C:\WINDOWS的Server.exe,一看就知是个可疑程序。
删除这个服务后。
显示所有文件与系统文件,还会发现除Server.exe外,还有Server.dll,Serverkey.dll。
很典行的灰鸽子病毒,我之所以觉得严重。
是因为这个网站的访问的人太多了,大家一定要小心。
另外,还有一个比较严重的问题,卡巴斯基至今为止不能识别这个病毒。
baohe - 2006-5-13 13:55:00
【回复“我无邪”的帖子】
有TINY,没问题!
附件:
1558472006513135538.jpg
我无邪 - 2006-5-13 14:08:00
版主用IE看看
我是在GHOST后,直接上这个网站的。
baohe - 2006-5-13 14:15:00
| 引用: |
【我无邪的贴子】版主用IE看看
我是在GHOST后,直接上这个网站的。
........................... |
用IE,那自主权就在你自己了。
你运行那个FoxHelp.exe就释放鸽子。
附件:
1558472006513141534.jpg
阿杜QQ - 2006-5-13 14:32:00
你们说联通广西主页有病毒 吗?无邪开q
我无邪 - 2006-5-13 14:34:00
【回复“阿杜QQ”的帖子】
是的,我在发帖子前就连打10010三次,我要联通首先要重视这个问题。
baohe - 2006-5-13 14:36:00
| 引用: |
【我无邪的贴子】不要阻挡。
........................... |
我没有阻挡。
我的IDM自动接管文件下载。
这也是一道安全措施(至少不会下来就直接运行)。
鸽子就在那个FoxHelp.exe中。我看过了。
阿杜QQ - 2006-5-13 14:37:00
这个鸽子厉害,什么时候进入中国银行啊
我无邪 - 2006-5-13 14:51:00
原来版主用的是IDM,有这道防线,难怪没事。这东东我没用过,改天下个玩玩。
这只鸟没什么了不起的,禁用服务后,重启一下,直接删除就没事了。
thp1983NEW - 2006-7-15 15:37:00
请问我怎么找不这个“筛选器属性”对话框?
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
© 2000 - 2026 Rising Corp. Ltd.