经常被木马后门：Gh0st Rat 远程控制攻击，怎么办 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛经常被木马后门：Gh0st Rat 远程控制攻击，怎么办

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[求助] 经常被木马后门：Gh0st Rat 远程控制攻击，怎么办

gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:	发表于： 2009-10-08 16:55 \| 只看楼主短消息资料字号：小中大 1楼经常被木马后门：Gh0st Rat 远程控制攻击，怎么办在安全模式用瑞星杀毒删了4个病毒文件:《rqgly.sys》《pur.dll》《360safr.exe》《360hotfix.exe》，全都在C盘的WIDNOWS文件夹里，然后重启，过了半小时左右防火墙又拦截了几次,然后直接再杀多次C盘WINDOWS，没发现病毒，好烦人,怎么办啊。我按照某版主说的用System Repair Engineer扫描了，是用了那个软件的修复功能全部修复了之后再扫描的。已经有10多个地址被我放进黑名单了.每次攻击只隔那十几秒，放黑名单后过几个小时IP变了又开始攻击，依然是浙江的。烦死人了。。。用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 570; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Microsoft.com Optimized IE8) 附件: 文件名:新建文本文档.txt 下载次数:213 文件类型:text/plain 文件大小: 上传时间:2009-10-8 16:55:20 描述:txt
gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:	分享到：

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-10-08 17:06 \| 短消息资料字号：小中大 2楼回复：经常被木马后门：Gh0st Rat 远程控制攻击，怎么办这个应该没问题吧 ================================== 服务 [Background Intelligent Transfer Service / BITS][Running/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\skin.dll><Microsoft Corporation> 日志没看出什么，防火墙那拦截即可，你可能需要更换一下自己的IP地址了，就是个人宽带重新拨号百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰	发表于： 2009-10-08 17:08 \| 短消息资料字号：小中大 3楼回复：经常被木马后门：Gh0st Rat 远程控制攻击，怎么办以下文件上传至VirSCAN.org在线扫描，确认为病毒后删除。 c:\windows\system32\skin.dll c:\windows\system32\xdva276.sys 他攻击的话，防住就可以了，不必大惊小怪。他要攻击是他无聊，拿他也没办法 My Blog
是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2009-10-08 17:15 \| 短消息资料字号：小中大 4楼回复：经常被木马后门：Gh0st Rat 远程控制攻击，怎么办芳芳说的有道理。第一个服务被偷梁换柱，得修复一下。第二个可直接删除服务。
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:	发表于： 2009-10-08 17:26 \| 只看楼主短消息资料字号：小中大 5楼回复：经常被木马后门：Gh0st Rat 远程控制攻击，怎么办攻击的时候我点了图标看了一下详细，对方IP地址后面有 [WEB网页] 等字样，是不是说明这个是自动攻击？还有就是，那两个文件的确是都有病毒(30%的杀软查到有毒)，是不是删除那个文件，要在安全模式删么？
gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2009-10-08 17:33 \| 短消息资料字号：小中大 6楼回复：经常被木马后门：Gh0st Rat 远程控制攻击，怎么办俩文件都要删除，用置顶帖中的工具删除。另外检查一下system32下有没有qmgr.dll。双击附件里的文件，导入注册表项。附件: 文件名:bits.rar 下载次数:190 文件类型:application/octet-stream 文件大小: 上传时间:2009-10-8 17:33:15 描述:rar
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:	发表于： 2009-10-08 17:47 \| 只看楼主短消息资料字号：小中大 7楼回复：经常被木马后门：Gh0st Rat 远程控制攻击，怎么办有QMGR.DLL啊
gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2009-10-08 17:54 \| 短消息资料字号：小中大 8楼回复 7F gneadauan 的帖子有就好呀。本来BITS服务的映像路径是这个文件的。
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:	发表于： 2009-10-08 19:01 \| 只看楼主短消息资料字号：小中大 9楼回复：经常被木马后门：Gh0st Rat 远程控制攻击，怎么办擦。。别吓我啊，还以为这是个很难搞的病毒。。。
gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:

gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:	发表于： 2009-10-08 19:03 \| 只看楼主短消息资料字号：小中大 10楼回复：经常被木马后门：Gh0st Rat 远程控制攻击，怎么办好像没事了，把黑名单里的全拉掉都没有攻击，谢谢各位了~~如果到明天都没被攻击应该就没问题了
gneadauan 初生襁褓狮帖子:33 注册: 2009-06-12 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT