1234   4  /  4  页   跳转

求助,如何杀Backdoor.Gpigeon6.an?

收藏
巴黎的忧郁
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-05-03
  • 来自:
发表于: 2006-05-04 00:29 | 只看楼主 短消息 资料
字号: 31楼

啊,各位大哥,别把我当试验小白鼠呀!
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-04 00:32 | 短消息 资料
字号: 32楼

禁止服务项,也可以直接用SREng在“启动项”-“服务”那里禁止此项服务并删除之。
要禁止的服务有:
VMware NAT Servicex / Network address translation
NvCpl / NvCpl
StdService / StdService
System Event Logger / 8NASCAR

这次就不会找不到了吧。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-04 00:36 | 短消息 资料
字号: 33楼

引用:
【mynohack的贴子】你先让他试试,不然就来个简单的,去我的网盘下一个“江民未知病毒检测”扫系统,看到有可疑进程就KILL掉,或者发它目录下的LOG上来看看,应该可以杀掉的
网盘地址:
我就是没遇过这样的,所以才感兴趣
...........................

如果你想要试试插入C:\WINDOWS\system32\winlogon.exe的灰鸽子,我这里倒有一只,也是之前在求助的会员那里发现的。就在十天前,我发现了这样一只灰鸽子,让中毒的会员把它打包发给我,我又发给了baohe版主(当时我自己可不敢试啊,呵呵)。版主也就是用我发的那只灰鸽子搞出了这类鸽子的查杀方法的(http://forum.ikaka.com/topic.asp?board=28&artid=7990675)。

就在版主发出解决方案后整整过了两天,又一只插入C:\WINDOWS\system32\winlogon.exe的灰鸽子出现了(http://forum.ikaka.com/topic.asp?board=28&artid=7995241)。

今天,起码已经是第三例了。所以楼主不用担心成为小白鼠。

还是得感谢当时那个中毒的会员,听我的建议没有因不耐烦而重装,让楼主因此而受惠。
gototop
 
巴黎的忧郁
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-05-03
  • 来自:
发表于: 2006-05-04 00:40 | 只看楼主 短消息 资料
字号: 34楼

谢谢!
gototop
 
mynohack
头像
初生襁褓狮
  • 帖子:49
  • 注册: 2006-03-16
  • 来自:
发表于: 2006-05-04 00:40 | 短消息 资料
字号: 35楼

OK,刚才竟然错过了重要的一项
[VMware NAT Servicex / Network address translation ]
<C:\WINDOWS\SOUNDMANS.bat><N/A>
汗颜,此应该就是了
gototop
 
巴黎的忧郁
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-05-03
  • 来自:
发表于: 2006-05-04 00:52 | 只看楼主 短消息 资料
字号: 36楼

晕死,请问能不能将我要进行的操作一步步列好给我?不胜感激!!
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-04 00:59 | 短消息 资料
字号: 37楼

楼主的主要问题是那只灰鸽子,所以我才分开两帖。楼主可以先把第19楼的部分做完,卸下这个心头大石之后,再做第20楼的问题。
当然,SSM的使用,需要先学一下,不过相信版主的图文解说已经比较详细了。只是步骤较多,要静下心来一步一步做。
gototop
 
mynohack
头像
初生襁褓狮
  • 帖子:49
  • 注册: 2006-03-16
  • 来自:
发表于: 2006-05-04 01:09 | 短消息 资料
字号: 38楼

我还是相信KILLBOX和SRENG可以搞定,轩辕小聪你可以把这只鸽子的样本发到我的网盘吗?上传目录 密码:123456
地址:http://myljty.ys168.com
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<RavUptyti><C:\WINDOWS\System32\agetlkyei.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<supdate2.dll><rem RUNDLL32.EXE C:\WINDOWS\System32\supdate2.dll,Run>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<spoolsv><C:\WINDOWS\System32\spoolsv\spoolsv.exe -printer>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<win32tip><C:\WINDOWS\System32\mscorierdll4.exe>
删除启动项,并删除文件“C:\WINDOWS\System32\agetlkyei.exe”“C:\WINDOWS\System32\supdate2.dll”“C:\WINDOWS\System32\spoolsv\spoolsv.exe”“C:\WINDOWS\System32\mscorierdll4.exe”这些全交给KILLBOX

[System Event Logger / 8NASCAR]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[VMware NAT Servicex / Network address translation ]
<C:\WINDOWS\SOUNDMANS.bat><N/A>
[NvCpl / NvCpl]
<C:\WINDOWS\cmd.com><N/A>
[StdService / StdService]
<C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\STDSVER.DLL,Service><N/A>
禁止删除服务,
删除文件“C:\WINDOWS\System32\STDSVER.DLL”“C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL”“C:\WINDOWS\SOUNDMANS.bat”“C:\WINDOWS\SOUNDMANSKey.DLL”“C:\WINDOWS\cmd.com”

删除注册表启动项
点选要编辑的那项,使其高亮显示,然后按下“删除”按钮



在确认对话框中选择“是”,删除该启动项目



注释注册表启动项
即去掉启动项前面的对勾,去掉对勾时该启动项的值前会出现一个;(分号),表示该启动项已注释,不起作用
禁用、删除服务项
“服务”中默认列出所有服务项,需要注意的是只有当勾选“隐藏微软服务”后,“删除所选服务”按钮才为可用状态,否则不可进行删除服务的操作。



禁用服务项
点击选择需要禁用的服务项,按下“禁用所选服务”,在弹出的确认对话框中选择“是”,SREng将设置该服务启动类型为“手动”,选择“否”,将设置该服务启动类型为“已禁用”



删除服务项
点击选择需要删除的服务项,按下“删除所选服务”,在弹出的警告对话框中选择“是”(推荐项),SREng将不删除该服务,选择“否”,SREng将删除该服务
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-04 01:23 | 短消息 资料
字号: 39楼

我可以把之前发现的一只类似的发给你看看。
gototop
 
<<上一主题|下一主题>>
1234   4  /  4  页   跳转
页面顶部
Powered by Discuz!NT