瑞星卡卡安全论坛

猛，
这东西比较吓人

引用:

【baohe的贴子】 这个，要根据自己系统的实际情况而定。 我的系统（IBM的本本，XPSP2系统），同时加载运行PowerShadow、Tiny、SSM三个安全软件——没有任何问题。 所以，我观察病毒一般是在PowerShadow的Full Shadow模式下运行病毒（保险起见），获得初步信息（用Tiny和SSM监控）。 根据初步信息判断病毒的侵害范围及严重程度后，调整Tiny的防护设置，再次在Single Shadow模式下详细观察、记录。 大致就是这样。 这样做的前提条件是：熟悉Tiny和ssm的设置，并能根据实际问题灵活应用。Tiny和ssm设置的灵活调整需要经验积累。 ………………

.....佩服...学习......猫是吃鸽子的.....

请教版主若winlogon.exe是在c:\windows\system32
里面会不会是灰鸽子呢？

引用:

【缘于无梦的贴子】请教版主若winlogon.exe是在c:\windows\system32 里面会不会是灰鸽子呢？ ………………

c:\windows\system32\winlogon.exe是正常的系统文件。

谢谢！回复真快！

学习啦,哈哈,谢谢猫叔.

学习了

这两天怎么不升级了?老是18.43.41???????????????????

想问下  怎么能看出来 我的机器中了这个鸽子呢？ 

我的winlogon.exe是在c:\windows\system32

在windows大目录下面没有看见winlogon.exe  也没有见另外那2个

程序。  谢谢斑竹回答

引用:

【想不出名字的贴子】想问下  怎么能看出来 我的机器中了这个鸽子呢？  我的winlogon.exe是在c:\windows\system32 在windows大目录下面没有看见winlogon.exe  也没有见另外那2个 程序。  谢谢斑竹回答 ………………

中了这只鸽子，你用WINDOWS的资源管理器查看文件，在windows目录下见不到winlogon.exe以及那两个dll文件，即使你“显示隐藏文件”，也看不到。然而，windows目录下确实存在这三个木马文件。用IceSword才能看到。这就是这只鸽子的特点。
现在常用的三个扫日志的工具也发现不了异常。

来迟~
精彩发言,不容错过~~

老版~~
给我也发一个吧~~~先谢~

xue_mai_qi@163.com

另,那个样本中的这个鸽子文件还要提取?
用什么软件吗,还是它可以解压缩~~~

引用:

【baohe的贴子】 中了这只鸽子，你用WINDOWS的资源管理器查看，在windows目录下也见不到winlogon.exe，但是，windows目录下确实存在这个winlogon.exe，但是，用IceSword可以看到。这就是这只鸽子的特点。 现在常用的三个扫日志的工具也发现不了异常。 ………………

都有些担心普通电脑用户的安全问题,病毒的手法越来越高明,防不胜防啊
看来只有努力学习了!!

我是新手，问个初级问题。

是不是正常系统里面只有在c:\windows\system32下才有winlogon.exe

如果在别的文件夹下面有winlogon.exe以及另2个dll文件，就能说明系统中了鸽子

谢谢斑竹

想查看别的文件下面是否有winlogon.exe以及另2个dll文件，只能

通过IceSword？

引用:

【想不出名字的贴子】我是新手，问个初级问题。 是不是正常系统里面只有在c:\windows\system32下才有winlogon.exe 如果在别的文件夹下面有winlogon.exe以及另2个dll文件，就能说明系统中了鸽子 谢谢斑竹 ………………

1、“正常系统里面只有在c:\windows\system32下才有winlogon.exe”——正确。

2、如果在别的文件夹下面有winlogon.exe......——以winlogon.exe为名的木马/病毒不止一个、两个。具体问题，具体分析。不能一概而论。

引用:

【想不出名字的贴子】想查看别的文件下面是否有winlogon.exe以及另2个dll文件，只能 通过IceSword？ ………………

这是一个“理解”问题。
用IceSword能看到这只鸽子的木马文件，并不排除用其它工具也能看到。
有兴趣的话，你自己可以试试。
但有一点可以肯定：种了这个鸽子，没有禁止那个winlogon.dll运行之前，你用WINDOWS的资源管理器肯定看不到鸽子的文件。

【回复“baohe”的帖子】
请问SSM要怎么安装?

引用:

【zuozuo0425的贴子】【回复“baohe”的帖子】 请问SSM要怎么安装? ………………

你自己没动手装过软件？

如果中了鸽子，先要用SSM组织那个dll的加载，然后IceSword才能

看见那3个文件？是这样么

引用:

【想不出名字的贴子】如果中了鸽子，先要用SSM组织那个dll的加载，然后IceSword才能 看见那3个文件？是这样么 ………………

用IceSword直接就能看到那三个文件。

我也看看先.電腦一開機前幾分鍾就要重啟

不用那么麻烦 

系统 命令  就能删

http://forum.ikaka.com/topic.asp?board=28&artid=8167771

IceSword目前只为使用32位的x86兼容CPU的系统设计是么？

那64位的cpu不会不能用这个软件把。。。

好.

昨天看过“怎样挡住灰鸽子（Backdoor.Gpigeon）”
http://forum.ikaka.com/topic.asp?board=28&artid=7198994
这个超级帖子，除了一部分日志没有看外，其他的基本都看了。
在这里，想请教个有点菜的问题。

鸽子有很多变种，植入系统后，文件名也变化多多。从上面帖子里看出，在HJ的扫描日志里，鸽子比较多的是在023-NT 服务中出现异常服务项(Unknown owner ).路径中的有些文件名是有比较明显的鸽子特征的，比如G-server.exe,internet.exe等，已经定性。但是，还有许多其他鸽子文件，没有这种特征，请问，怎样才能确定这些文件是鸽子还是其他病毒？凭积累的经验？还是一定需要通过拦截后才能确定？有什么技巧？

baohe 斑竹 这方面是专家，而且非常敬业，佩服！
 
 

兄弟，这个办法太复杂了
我不会啊
还有什么简单的办法来发现是不是中了灰鸽子吗？

这个鸽子的DLL文件确实看不到了~~
但我并没有用SSM禁用它DLL文件,(因为当时SSM的库文件添加新的规则时,查找不到,(我又忘了可以直接输入,确定即可~)所以,我就用了个比较笨的办法~~~
(附:当然,我用Icesword可以看到这几个文件,也可以在大部分的进程的模块里看到它的DLL,还有在记事本中还多了个KEY.DLL
我在SSM的进程属性的模块信息中也可以看到DLL的踪影~)

我先在ssm的程序规则中禁止了它的主程序的运行~(c:\windows\winlogon.exe)因为~运行时设为永久规则~不然可能连它都找不到(当然,可以自已添加的了~~)

而后,进服务禁止了它的服务项(服务名是winlogon)也就是设它的服务项为禁止运行~确定~

然后,我就突然发现,在普通模式里能看到它了~~~

再下面,如老版所述~禁用DLL运行,删除文件,清除注册项~(如果你打开记事本了,可能要关闭记事本,或将插入记事本的DLL卸除)

运行环境:PowerShadow Master(full模式)+ssm2.2.0.587(注册表规则作了一些改变)

瑞星18.43.20扫出backdoor.gpigeon.2006.acw但不能杀啊,每次开机都会出现杀到该病毒啊!是不是灰鸽子病毒啊,但它是以.acw结尾啊!
C:\WINDOWS\winrver.exe 这是什么东西?是不是该毒文件啊?
请教斑主及各路高手,我该怎么处理啊?
谢谢~~~~~~

引用:

【gdqy75061的贴子】瑞星18.43.20扫出backdoor.gpigeon.2006.acw但不能杀啊,每次开机都会出现杀到该病毒啊!是不是灰鸽子病毒啊,但它是以.acw结尾啊! C:\WINDOWS\winrver.exe 这是什么东西?是不是该毒文件啊? 请教斑主及各路高手,我该怎么处理啊? 谢谢~~~~~~ ………………

你中的就是这只灰鸽子。只是具体的文件名与这个帖子所叙述的有所不同。查杀步骤可以参考这个帖子。
你要删除的那组文件名见附图——————



附件: 1558472006911210151.jpg

回复    【gdqy75061的贴子】


你要删除的服务名：

附件: 1558472006911210459.jpg