瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一只隐蔽的灰鸽子winlogon.exe
大大大伟 - 2006-9-11 21:22:00
http://forum.ikaka.com/topic.asp?board=28&artid=8167627

帮我看看这个问题!!
baohe - 2006-9-11 21:35:00
引用:
【大大大伟的贴子】http://forum.ikaka.com/topic.asp?board=28&artid=8167627

帮我看看这个问题!!
………………

已经在你那个帖子后回复
gdqy75061 - 2006-9-11 21:38:00
只在C:\WINDOWS\winrver.exe找到该文件,没有其他两个!别查看注册表项,有如下几项可否删除
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping下的几个键值可否删除或清除
{FB5F1910-F110-11d2-BB9E-00C04F795683}"=dword:0x00002000
{92780B25-18CC-41C8-B9BE-3C9C571A8263}"=dword:0x00002002
{0A155D3C-68E2-4215-A47A-E800A446447A}"=dword:0x00002001
NextId"=dword:0x00002003
baohe - 2006-9-11 21:43:00
【回复“gdqy75061”的帖子】
文件问题:
删除鸽子得服务项,重启后再找。
那几个注册表键值应该删除。
gdqy75061 - 2006-9-11 21:56:00
谢谢斑主,已经按你的步骤处理了,不过不知有没有注删表跟你上面那不同的所以没删到,如果没删到会会有影响,比如会不会重新感染?
独孤九剑123 - 2006-9-12 8:59:00
OK!!!!!!!!!!!!!!!!!!!!!!!!!!!
lancom - 2006-9-12 14:35:00
学习了
平地风波 - 2006-9-12 17:51:00
呱澎澎 你是
    进化不完全的生命体,基因突变的外星人,
    幼稚园程度的高中生,先天蒙古症的青蛙头,
    圣母峰雪人的弃婴,化粪池堵塞的凶手,
    非洲人搞上黑*的后裔,阴阳失调的黑猩猩,
    被诺亚方舟压过的河马,新火山喷发口,
    超大无耻传声扩音喇叭,爱斯基摩人的耻辱,
    和蟑螂共存活的超个体,生命力腐烂的半植物,
    会发出臭味的垃圾人,“唾弃“名词的源头,
    每天退化三次的恐龙,人类历史上最强的废材,
    上帝失手摔下来的旧洗衣机,能思考的无脑袋生物,
    损毁亚洲同胞名声的祸害,祖先为之蒙羞的子孙,
    沉积千年的腐植质,科学家也不敢研究的原始物种,
    10倍石油浓度的沉积原料,被毁容的麦当劳叔叔,
    像你这种可恶的家伙 :
    只能演电视剧里的一陀粪,
    比不上路边被狗洒过尿的口香糖,
    连如花都帅你10倍以上,
    找女朋友得去动物园甚至要离开地球,
    想要自杀只会有人劝你不要留下尸体以免污染环境,
    你摸过的键盘上连阿米吧原虫都活不下去,
    喷出来的口水比SARS还致命,
    装可爱的话可以瞬间解决人口膨胀的问题,
    耍酷装帅的话人类就只得用无性生殖,
    白痴可以当你的老师,智障都可以教你说人话,
    只要你抬头臭氧层就会破洞
    要移民火星是为了要离开你,
    如果你的丑陋可以发电的话全世界的核电厂都可以停摆,
    去打仗的话子弹飞弹会忍不住向你飞,
    手榴弹看到你会自爆,
    别人要开飞机去撞双子星才行而你只要跳伞就有同样的威力,
    你去过的名胜全部变古迹,你去过的古迹会变成历史,
    18辈子都没干好事才会认识你,连丢进太阳都嫌不够环保!!!
    
    反正横竖一句话:别让我再看见你,要是见着了你,
    
    我一定要把你灭了!
流氓の兔子 - 2006-9-12 20:33:00
呵呵 学习了啊
注意安全 - 2006-9-12 22:55:00
谢谢斑竹,学习啦!此启动项名称到底是大写还是小写?我的开机进程中就有此项。
baohe - 2006-9-13 8:25:00
引用:
【注意安全的贴子】谢谢斑竹,学习啦!此启动项名称到底是大写还是小写?我的开机进程中就有此项。
………………

不是大小写的问题。
进程是否是正常的系统进程————看其路径。系统进程winlogon.exe的路径是C:\windows\system32\winlogon.exe(XP系统)。
WINDOWS的“任务管理器”只能看到进程名,根本看不到进程的路径。
请用IceSword或SSM一类的工具查看进程路径。
另外,中了这只鸽子后,你看不到它的进程。但是,用SSM可以看到它的服务项,所在路径为:C:\windows\winlogon.exe。
守猪带兎 - 2006-9-13 14:03:00
不见大海,不知浪高,楼主牛
★闲云野鹤★ - 2006-9-13 14:23:00
版主啊我是个电脑盲,你们说的我不懂啊,我的电脑也中了Backdoor.Gpigeon.hfc,有两个,用最新版本的瑞星杀了,可是一开机又出来了,我重新格一下C盘能不能彻底清除啊!别的盘里有资料就不能动了!
轩辕小聪 - 2006-9-13 14:35:00
所谓“鞭长莫及”,我们和求助者相隔千里,如果求助者真中了这个病毒,在日志看不见异常,杀软又不报的情况下,我们很难在千里之外发现它,而且一般要有IceSword、SSM等工具,让他们能熟练操作,这对于一般求助者来说一时难以达到。这种情况下,总不能老远程吧?时间和网络情况都不允许。
所以,每个一般用户,都应该学习一些基本的电脑安全知识,遇到问题至少能自己找到一点蛛丝马迹。
★闲云野鹤★ - 2006-9-13 15:12:00
主啊我是个电脑盲,你们说的我不懂啊,我的电脑也中了Backdoor.Gpigeon.hfc,有两个,用最新版本的瑞星杀了,可是一开机又出来了,我重新格一下C盘能不能彻底清除啊!别的盘里有资料就不能动了!
版主正面回答我一下好吗!需要把电脑全格了吗?
baohe - 2006-9-13 19:46:00
引用:
【★闲云野鹤★的贴子】主啊我是个电脑盲,你们说的我不懂啊,我的电脑也中了Backdoor.Gpigeon.hfc,有两个,用最新版本的瑞星杀了,可是一开机又出来了,我重新格一下C盘能不能彻底清除啊!别的盘里有资料就不能动了!
版主正面回答我一下好吗!需要把电脑全格了吗?
………………

自己开个帖子。
用HijackThis v1.99.1或者SREng扫日志贴上。帮你看看。
★闲云野鹤★ - 2006-9-13 19:54:00
我不会开什么贴子啊!
★闲云野鹤★ - 2006-9-13 19:56:00
【回复“baohe”的帖子】
我的电脑没有出现什么异常,可能用瑞星查的时候就能查出来Backdoor.Gpigeon.hfc,删除之后就没有了,可是下次开机的时候还能查出来!
★闲云野鹤★ - 2006-9-13 20:16:00
版主我用瑞星查的!是这样的:
文件名:lssass
文件路径:Documents and Settings\All Users\Documents\My Music\lssass
病毒名:Backdoor.Gpigeon.hfc
状态:清除成功

文件名:IEXPLORE.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
病毒名:Backdoor.Gpigeon.hfc
状态:清除成功

用瑞星查出来就这些,可是再开机的时候还能查出来!是不是灰鸽子啊。

★闲云野鹤★ - 2006-9-13 20:20:00
版主我用瑞星查的!是这样的:
文件名:lssass
文件路径:Documents and Settings\All Users\Documents\My Music\lssass
病毒名:Backdoor.Gpigeon.hfc
状态:清除成功

文件名:IEXPLORE.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
病毒名:Backdoor.Gpigeon.hfc
状态:清除成功

用瑞星查出来就这些,可是再开机的时候还能查出来!是不是灰鸽子啊。

★闲云野鹤★ - 2006-9-13 20:22:00
版主还有什么更简单的方法没有啊,要不我重新装一下系统能不能彻底删除这个病毒啊!别的我不会了!555555555555555555555555555555555555555555555555555555555555555555555555555555
言必信,行必果 - 2006-9-14 1:52:00
呱澎澎 你是
    进化不完全的生命体,基因突变的外星人,
    幼稚园程度的高中生,先天蒙古症的青蛙头,
    圣母峰雪人的弃婴,化粪池堵塞的凶手,
    非洲人搞上黑*的后裔,阴阳失调的黑猩猩,
    被诺亚方舟压过的河马,新火山喷发口,
    超大无耻传声扩音喇叭,爱斯基摩人的耻辱,
    和蟑螂共存活的超个体,生命力腐烂的半植物,
    会发出臭味的垃圾人,“唾弃“名词的源头,
    每天退化三次的恐龙,人类历史上最强的废材,
    上帝失手摔下来的旧洗衣机,能思考的无脑袋生物,
    损毁亚洲同胞名声的祸害,祖先为之蒙羞的子孙,
    沉积千年的腐植质,科学家也不敢研究的原始物种,
    10倍石油浓度的沉积原料,被毁容的麦当劳叔叔,
    像你这种可恶的家伙 :
    只能演电视剧里的一陀粪,
    比不上路边被狗洒过尿的口香糖,
    连如花都帅你10倍以上,
    找女朋友得去动物园甚至要离开地球,
    想要自杀只会有人劝你不要留下尸体以免污染环境,
    你摸过的键盘上连阿米吧原虫都活不下去,
    喷出来的口水比SARS还致命,
    装可爱的话可以瞬间解决人口膨胀的问题,
    耍酷装帅的话人类就只得用无性生殖,
    白痴可以当你的老师,智障都可以教你说人话,
    只要你抬头臭氧层就会破洞
    要移民火星是为了要离开你,
    如果你的丑陋可以发电的话全世界的核电厂都可以停摆,
    去打仗的话子弹飞弹会忍不住向你飞,
    手榴弹看到你会自爆,
    别人要开飞机去撞双子星才行而你只要跳伞就有同样的威力,
    你去过的名胜全部变古迹,你去过的古迹会变成历史,
    18辈子都没干好事才会认识你,连丢进太阳都嫌不够环保!!!
    
    反正横竖一句话:别让我再看见你,要是见着了你,
    
    我一定要把你灭了!
YouZhuo - 2007-1-1 6:53:00
引用:
【baohe的贴子】这只鸽子提示:中招后,贴日志求助的日子即将结束!做好系统基础安全防护是每个用户的当务之急。“基础安全防护”绝不仅仅是打几个补丁的问题。熟悉一两个性能好的安全软件的使用也是必要的。否则,中招后,你自己就着急吧!
这只鸽子的要害是c:\windows\winlogon.dll。如果想办法禁止这个dll加载运行,鸽子的文件全部可见(见20楼的图)

这是Movgear.exe中捆绑的一只灰鸽子(Movgear.exe样本来自安全12公里)。winlogon.exe的MD5值为:2de9f62c2b405e16cb66773747cf0f2d。


一、自Movgear.exe中提取winlogon.exe并将其植入系统后,autoruns、HijackThis、SREng日志中均无任何异常发现。
winlogon.exe释放的文件有:
1、c:\windows\winlogon.exe
2、c:\windows\winlogon.dll
3、c:\windows\winlog.dll
这两个dll插入IE浏览器进程。
即使不打开IE浏览器,IceSword的进程列表中依然可见iexplore.exe。
c:\windows\winlog.dll动态跟踪所有应用程序进程(一旦开启,立即插入。)
注意:即使显示隐藏文件,用WINDOWS的资源管理器也看不到灰鸽子释放的这三个文件。用IceSword才能看到。
二、注册表改动包括:
1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
添加:winlogon.exe(指向c:\windows\winlogon.exe)
2、在HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
添加:
"{92780B25-18CC-41C8-B9BE-3C9C571A8263}"=dword:00002002
"{DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}"=dword:00002002
"{FB5F1910-F110-11d2-BB9E-00C04F795683}"=dword:00002001
3、在HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Connection Wizard
添加:"Completed"=hex:01,00,00,00
4、在HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
添加:
"ITBarLayout"=hex:11,00,00,00,5c,00,00,00,00,00,00,00,34,00,00,00,1f,00,00,00,56,\
  00,00,00,01,00,00,00,20,07,00,00,a0,0f,00,00,05,00,00,00,62,05,\
  00,00,26,00,00,00,02,00,00,00,21,07,00,00,a0,0f,00,00,04,00,00,\
  00,21,01,00,00,a0,0f,00,00,03,00,00,00,20,03,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:81,45,e0,01,ee,4e,d0,11,bf,e9,00,aa,00,5b,43,83,10,00,00,00,00,\
  00,00,00,01,e0,32,f4,01,00,00,00
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=hex:21,bf,5c,0e,5f,d1,d0,11,83,01,00,aa,00,5b,43,83,22,00,1c,00,08,\
  00,00,00,06,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,4c,00,00,00,01,14,02,00,00,00,00,00,c0,00,00,00,00,00,00,\
  46,81,00,00,00,10,00,00,00,a0,8f,ff,ba,9d,d4,c6,01,00,9e,02,bb,\
  9d,d4,c6,01,a0,8f,ff,ba,9d,d4,c6,01,00,00,00,00,00,00,00,00,01,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,5d,01,14,00,1f,50,\
  e0,4f,d0,20,ea,3a,69,10,a2,d8,08,00,2b,30,30,9d,19,00,2f,43,3a,\
  5c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,5c,\
  00,31,00,00,00,00,00,3a,31,09,3c,10,00,44,4f,43,55,4d,45,7e,31,\
  00,00,44,00,03,00,04,00,ef,be,3a,31,9c,36,2a,35,f7,29,14,00,00,\
  00,44,00,6f,00,63,00,75,00,6d,00,65,00,6e,00,74,00,73,00,20,00,\
  61,00,6e,00,64,00,20,00,53,00,65,00,74,00,74,00,69,00,6e,00,67,\
  00,73,00,00,00,18,00,4c,00,31,00,00,00,00,00,2a,35,cb,2e,16,00,\
  4e,45,54,57,4f,52,7e,31,00,00,34,00,03,00,04,00,ef,be,3a,31,11,\
  39,2a,35,cb,2e,14,00,00,00,4e,00,65,00,74,00,77,00,6f,00,72,00,\
  6b,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,18,00,56,\
  00,31,00,00,00,00,00,2a,35,cb,2e,11,00,46,41,56,4f,52,49,7e,31,\
  00,00,3e,00,03,00,04,00,ef,be,2a,35,cb,2e,2a,35,cb,2e,14,00,28,\
  00,46,00,61,00,76,00,6f,00,72,00,69,00,74,00,65,00,73,00,00,00,\
  40,73,68,65,6c,6c,33,32,2e,64,6c,6c,2c,2d,31,32,36,39,33,00,18,\
  00,30,00,35,00,00,00,00,00,2a,35,f1,2e,10,00,fe,94,a5,63,00,00,\
  1c,00,03,00,04,00,ef,be,2a,35,f1,2e,2a,35,f1,2e,14,00,00,00,fe,\
  94,a5,63,00,00,14,00,00,00,60,00,00,00,03,00,00,a0,58,00,00,00,\
  00,00,00,00,6c,69,6e,62,61,6f,68,65,00,00,00,00,00,00,00,00,1e,\
  8c,63,4d,34,72,b3,48,8a,de,83,67,8f,38,be,10,b1,a9,fd,89,90,40,\
  db,11,b2,29,00,d0,59,c0,b8,59,1e,8c,63,4d,34,72,b3,48,8a,de,83,\
  67,8f,38,be,10,b1,a9,fd,89,90,40,db,11,b2,29,00,d0,59,c0,b8,59,\
  00,00,00,00
5、在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
添加:"Settings"=hex:0c,00,02,00,0a,01,ef,75,60,00,00,00
6、在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
添加:
{0055C089-8582-441B-A0BF-17B458C2A3A8}
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{AE7CD045-E861-484F-8273-0445EE161910}
{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
{FB5F1910-F110-11D2-BB9E-00C04F795683}
7、在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\链接
添加:"Order"=hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00

三、进行上述观察后,重启系统。
重启后,卡巴斯基报警(我的卡巴斯基为启动加载):发现灰鸽子。但卡巴斯基仅仅将c:\windows\winlogon.dll删除;c:\windows\winlogon.exe和c:\windows\winlog.dll卡巴斯基并不报毒。汗!!卡巴斯基越来越不争气了
另外发现其winlog.log文件。文件内容为:

#?>.?:4?74;<jk7h8萃GMKULome}~omkSULome}~omkSmk]ya|j鼻苴焙怀跺佥拿顾皇朗拆ULome}~omkSjbbjbbEkw铣而jbb朗拆茧棋gULome}~omkSGK辍挝腮出铰GKGmk]ya|j皇出铰限裤剞芪频鼻蝉gkvb~ULome}~omkSULome}~omkS~ba|k kvkULome}~omkSULome}~omkS佻硷裤妒浮掘桅?

四、查杀流程:
1、打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除灰鸽子的服务项:winlogon.exe
2、重启系统。用IceSword找到并删除鸽子释放的那三个文件。
4、清理注册表(删除鸽子添加的注册表项)。



………………


楼主,麻烦您帮忙了,上次我用这个软件中了灰鸽子,弄了很久才清楚,现在找到这个软件的,感觉是无灰鸽子的,但是还是怕怕,麻烦您检查一下好吗?

郁闷,附件超过1M了,无法上传,您在线的时候Q一下我好吗? 我已经给你发了短消息;
我是来来 - 2007-1-1 8:41:00
谢谢版主
runings - 2007-1-1 9:21:00
该用户帖子内容已被屏蔽
高歌猛进 - 2007-1-1 9:32:00
极容易被看成飘雪
123
查看完整版本: 一只隐蔽的灰鸽子winlogon.exe
© 2000 - 2026 Rising Corp. Ltd.