中了灰鸽子...百杀不曾死....

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛中了灰鸽子...百杀不曾死....

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

123

2 / 3 页

跳转页

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-04-08 19:37 \| 短消息资料字号：小中大 11楼 HJ日志，快点~~
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

特邀体验者

帖子:5462
注册: 2005-01-12
来自:0GiNr

发表于： 2006-04-08 19:39 | 短消息资料

字号：小中大 12楼

引用:

【⒋性⒏改的贴子】第五种杀法:
通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。
2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。
3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

无效....
...........................

在灰鸽子的服务项没有删除时（即灰鸽子正在运行时），用WINDOWS的搜索工具根本无法搜索到这些文件（被鸽子搞的）。这个着术只能在初步清除灰鸽子服务时用

⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:	发表于： 2006-04-08 22:03 \| 只看楼主短消息资料字号：小中大 13楼 Logfile of Kaka v2. 0. 0. 8 Scan Module v2. 0. 0. 1 Scan saved at 23:37:33, on 2006-04-08 Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600) MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)) Running processes: [smss.exe] CommandLine = [csrss.exe] CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 [winlogon.exe] CommandLine = winlogon.exe [SERVICES.EXE] CommandLine = C:\WINDOWS\system32\services.exe [LSASS.EXE] CommandLine = C:\WINDOWS\system32\lsass.exe [SVCHOST.EXE] CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch [SVCHOST.EXE] CommandLine = C:\WINDOWS\system32\svchost -k rpcss [CCenter.exe] CommandLine = "D:\rar\Rav\CCenter.exe" [SVCHOST.EXE] CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs [SVCHOST.EXE] CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService [RavMonD.exe] CommandLine = "D:\rar\Rav\Ravmond.exe" [rfwsrv.exe] CommandLine = d:\rising\rfw\rfwsrv.exe [spoolsv.exe] CommandLine = C:\WINDOWS\system32\spoolsv.exe [RavStub.exe] CommandLine = D:\rar\Rav\RavStub.exe /RAVMOND [EXPLORER.EXE] CommandLine = C:\WINDOWS\Explorer.EXE [RfwMain.exe] CommandLine = -StartUp [RavTask.exe] CommandLine = "D:\RAR\RAV\RAVTASK.EXE" -SYSTEM [RavMon.exe] CommandLine = "D:\rar\Rav\Ravmon.exe" -SYSTEM [SMTray.exe] CommandLine = "C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [ctfmon.exe] CommandLine = "C:\WINDOWS\system32\ctfmon.exe" [SMAgent.exe] CommandLine = "C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe" [wdfmgr.exe] CommandLine = C:\WINDOWS\system32\wdfmgr.exe [wuauclt.exe] CommandLine = "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[350]SUSDSb0204e947a64ad4f9a81230330a12bbf [VnetClient.exe] CommandLine = "D:\ChinaNet\VnetClient.exe" [iexplore.exe] CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"
⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:

⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:	发表于： 2006-04-08 22:14 \| 只看楼主短消息资料字号：小中大 14楼大哥....就你顶我帖子....真谢谢了啊..... 只要别让我再在防火墙的系统状态里再看到灰鸽子三个字就好了。.. 我要崩溃了。.... 每天开起电脑就首先要用卡卡助手结束那个进程后才能开始上网...累得半死....
⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:

⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:	发表于： 2006-04-08 22:20 \| 只看楼主短消息资料字号：小中大 15楼报毒情况是这样的。.... 前10次用瑞星查的时候还会报毒的。..... 现在不知道是瑞星疲软了还是病毒变种了..... 已经不报毒了....
⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-04-08 22:30 \| 短消息资料字号：小中大 16楼瑞星报毒时的病毒文件名称与具体路径？日志中并没有发现灰鸽子。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:	发表于： 2006-04-08 23:50 \| 只看楼主短消息资料字号：小中大 17楼我又结束掉几个系统服务...现在灰鸽子那个括号是没了...可是那个进程好象还是在那里...仍需要手动结束.... 附件: 文件名:677896200648235031.BMP 下载次数:153 文件类型:application/octet-stream 文件大小: 上传时间:2006-4-8 23:50:31 描述:
⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:

⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:	发表于： 2006-04-08 23:51 \| 只看楼主短消息资料字号：小中大 18楼 Logfile of Kaka v2. 0. 0. 8 Scan Module v2. 0. 0. 1 Scan saved at 23:37:33, on 2006-04-08 Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600) MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)) Running processes: [smss.exe] CommandLine = [csrss.exe] CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 [winlogon.exe] CommandLine = winlogon.exe [SERVICES.EXE] CommandLine = C:\WINDOWS\system32\services.exe [LSASS.EXE] CommandLine = C:\WINDOWS\system32\lsass.exe [SVCHOST.EXE] CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch [SVCHOST.EXE] CommandLine = C:\WINDOWS\system32\svchost -k rpcss [CCenter.exe] CommandLine = "D:\rar\Rav\CCenter.exe" [SVCHOST.EXE] CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs [SVCHOST.EXE] CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService [RavMonD.exe] CommandLine = "D:\rar\Rav\Ravmond.exe" [rfwsrv.exe] CommandLine = d:\rising\rfw\rfwsrv.exe [spoolsv.exe] CommandLine = C:\WINDOWS\system32\spoolsv.exe [RavStub.exe] CommandLine = D:\rar\Rav\RavStub.exe /RAVMOND [EXPLORER.EXE] CommandLine = C:\WINDOWS\Explorer.EXE [RfwMain.exe] CommandLine = -StartUp [RavTask.exe] CommandLine = "D:\RAR\RAV\RAVTASK.EXE" -SYSTEM [RavMon.exe] CommandLine = "D:\rar\Rav\Ravmon.exe" -SYSTEM [SMTray.exe] CommandLine = "C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [ctfmon.exe] CommandLine = "C:\WINDOWS\system32\ctfmon.exe" [SMAgent.exe] CommandLine = "C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe" [wdfmgr.exe] CommandLine = C:\WINDOWS\system32\wdfmgr.exe [wuauclt.exe] CommandLine = "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[350]SUSDSb0204e947a64ad4f9a81230330a12bbf [VnetClient.exe] CommandLine = "D:\ChinaNet\VnetClient.exe" [iexplore.exe] CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"
⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:

⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:	发表于： 2006-04-08 23:59 \| 只看楼主短消息资料字号：小中大 19楼求灰鸽子解法....... 附件: 文件名:677896200648235941.BMP 下载次数:163 文件类型:application/octet-stream 文件大小: 上传时间:2006-4-8 23:59:41 描述:
⒋性⒏改初生襁褓狮帖子:15 注册: 2006-04-08 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-04-09 00:18 \| 短消息资料字号：小中大 20楼该进程加载的全部模块的信息（楼上的图的下半部分）看看有什么可疑的模块。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

<<上一主题|下一主题>>

123

2 / 3 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中了灰鸽子...百杀不曾死....

中了灰鸽子...百杀不曾死....

附件:

文件名:677896200648235031.BMP 下载次数:153 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(0); 上传时间:2006-4-8 23:50:31 描述:

附件:

文件名:677896200648235941.BMP 下载次数:163 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(0); 上传时间:2006-4-8 23:59:41 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛中了灰鸽子...百杀不曾死....

文件名:677896200648235031.BMP

下载次数:153

文件类型:application/octet-stream

文件大小:

上传时间:2006-4-8 23:50:31

描述:

文件名:677896200648235941.BMP

下载次数:163

文件类型:application/octet-stream

文件大小:

上传时间:2006-4-8 23:59:41

描述: