1   1  /  1  页   跳转

[求助] 帮忙找下黑鸽子的痕迹

帮忙找下黑鸽子的痕迹

在虚拟机下装了个灰鸽子,上线正常

可是小弟水平不到家,想手动查杀练习一下,扫了日志后找不到灰鸽子的痕迹
高手帮忙找下

我就找到一个可疑的进程,和一个服务。
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[PID: 172 / SYSTEM][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

文件名:SREngLOG.log
下载次数:112
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-8 11:21:34
描述:log

分享到:
gototop
 

回复:帮忙找下黑鸽子的痕迹

服务
[hack / hack][Stopped/Auto Start]
  <c:\hack.exe><N/A>

这个有问题~

我就找到一个可疑的进程,和一个服务。
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这个是系统服务

[PID: 172 / SYSTEM][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]这个是IE的进程~~
gototop
 

回复:帮忙找下黑鸽子的痕迹

我没有开ie  但是却有这个进程~~~~灰鸽子不是有3个dll文件的吗

试了下,把ie进程结束掉就无法正常上线了。

但是释放的文件就找不到了。。。。郁闷
最后编辑freeflay 最后编辑于 2008-07-08 11:47:02
gototop
 

回复:帮忙找下黑鸽子的痕迹

删除文件c:\hack.exe

删除服务项[hack / hack]

就行了

IE浏览器是鸽子后台运行连接服务端的。。
不认识我没关系,因为我也不认识你。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT