瑞星卡卡安全论坛

ms中了灰鸽子backdoor.win32.gpigeon2007
不知道怎么删

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件: SREngLOG.log

主要是每次启动都会有iexpore.exe进程，但我没开ie!!!
然后瑞星防火墙会扫一下木马进程 就有这个
2008-07-20 18:19:49, IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE ->Backdoor.Win32.Gpigeon2007.bds
2008-07-20 17:54:33, IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE ->Backdoor.Win32.Gpigeon2007.bds
2008-07-20 01:33:13, IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE ->Backdoor.Win32.Gpigeon2007.bds
2008-07-20 01:33:06, winxp>>C:\WINNT\winxp ->Backdoor.Win32.Gpigeon.qn
2008-07-19 15:03:06, IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE ->Backdoor.Win32.Gpigeon2007.bds

1更新瑞星，扫描系统

[Remote Accesss Autop Services / Internet][Stopped/Auto Start]
  <C:\Program Files\Internet Explorer\Connection Wizard\inetwzp.exe><N/A>
[Inupiat / Inupiat][Stopped/Auto Start]
  <C:\WINNT\system32\Inupiat.exe><(File is missing)>
[Internet Explore Control Services / lssas      ][Stopped/Auto Start]
  <"C:\WINNT\system32\lssas.exe    " /service><(File is missing)>
[Peridtig Dista / PerAdaps Tation][Stopped/Auto Start]
  <C:\WINNT\system32\Com\secvec.exe><(File is missing)>
[System Even / System Even][Stopped/Auto Start]
  <C:\WINNT\winxp><(File is missing)>
[系统默认服务！ / 系统默认服务！][Stopped/Auto Start]
  <C:\WINNT\winsxp.exe><(File is missing)>

[rppmkg / rppmkg][Stopped/Manual Start]
  <\??\C:\WINNT\system32\rppmkg><N/A>
[snpshot / snpshot][Stopped/Manual Start]
  <\??\C:\DOCUME~1\czj\LOCALS~1\Temp\_temp.dat><N/A>

以上几个服务和驱动先用SREng删除。

C:\Program Files\Internet Explorer\Connection Wizard\inetwzp.exe用WINRAR打包，发样本区，之后删除。

[SVKP / SVKP][Running/Auto Start]
  <\??\C:\WINNT\system32\SVKP.sys><AntiCracking>
SVKP壳的解壳驱动，可能是病毒产生，也可能是加了这种壳的正常软件产生，可以先放着。

在以上这些服务的文件file is missing之前，楼主不知道被多少只灰鸽子控制了……