一只“狗皮膏药”式的灰鸽子

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛一只“狗皮膏药”式的灰鸽子

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 5 页

跳转页

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-08-31 22:42 \| 短消息资料字号：小中大 11楼刚才试了下不进入安全模式,只在正常模式中~ 用PG禁止源程序加载服务,创建钩子,禁止它运行~(怕它会再反复~把它的后路给绝了~) 进入注册表,查找5i.dll 的注册项~删(我找到两项~) 打开ICESWORD 设置禁止进程创建~ 找到Explorer.exe 显示模块信息找到5i.dll 卸除在临时文件夹里找到5i.dll 删 (因为我没有让它安装服务~~,~~) 所以只是针对这个钩子~ 恢复进程创建~ 再看看怎么样~~~
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

Enao2005 版主帖子:2112 注册: 2004-12-02 来自:	发表于： 2006-08-31 23:22 \| 短消息资料字号：小中大 13楼幸好那个5i.dll没插入系统关键进程，如:winlogon.exe smss.exe lsass.exe等，不然就好玩了 baohe版主要是这样的话，想到解决方法没？
Enao2005 版主帖子:2112 注册: 2004-12-02 来自:

大版主

发表于： 2006-08-31 23:28 | 只看楼主 短消息资料

字号：小中大 14楼

引用:

【Enao2005的贴子】幸好那个5i.dll没插入系统关键进程，如:winlogon.exe smss.exe lsass.exe等，不然就好玩了

baohe版主要是这样的话，想到解决方法没？
………………

关键是“注册表监控”和“安全模式”下加载。如果这只鸽子监控注册表（你删除其服务项，关闭系统前它在将其添加上），并且能在安全模式下加载运行，那就真的不太好对付了。

刀刀笨贼初生襁褓狮帖子:289 注册: 2006-06-16 来自:	发表于： 2006-08-31 23:41 \| 短消息资料字号：小中大 15楼鸽子也开始耍流氓............ 一切向流氓靠拢流氓是正道...........
刀刀笨贼初生襁褓狮帖子:289 注册: 2006-06-16 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-09-01 01:28 \| 短消息资料字号：小中大 16楼运行了一下,让它的服务也加载~ 发现它完全运行好后,C:\WINDOWS\uninstal.bat和它的源文件都找不到了~ 退出SSM,打开IECWORD, 卸除EXPLORER.EXE中的两个5i.dll,删除这俩个DLL文件删除那个伪装成注册表名的文件删除它的服务~ 另,它好像还对IE作了一些修改~ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders cache 值 cookies history
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

叱咤花甲狮

发表于： 2006-09-01 01:31 | 短消息资料

字号：小中大 18楼

引用:

【baohe的贴子】
关键是“注册表监控”和“安全模式”下加载。如果这只鸽子监控注册表（你删除其服务项，关闭系统前它在将其添加上），并且能在安全模式下加载运行，那就真的不太好对付了。
………………

估计离这天也不远了~~
能想到,就有人能做到~~
唉~~

yifan335391 初生襁褓狮帖子:10 注册: 2006-08-25 来自:	发表于： 2006-09-01 09:02 \| 短消息资料字号：小中大 19楼你们怎么说的像强奸一样啊，总是插不插的~~~ 这灰鸽子真是讨厌~
yifan335391 初生襁褓狮帖子:10 注册: 2006-08-25 来自:

2 / 5 页

跳转页