1   1  /  1  页   跳转

我中啦木马哈~谁能帮帮我

收藏
小园子
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2004-12-31
  • 来自:
发表于: 2005-09-07 11:00 | 只看楼主 短消息 资料
字号: 1楼

我中啦木马哈~谁能帮帮我

最近我开机都会自动启动IEXPLORE.EXE,原来就觉得不对都手动关掉进程
最近更新了8.29的防火墙后开机时防火墙说那个是内存木马Dropper.Delf.av
今天开机防火墙没反应了,瑞星杀毒的开机扫描又查出我中了Backdoor.GPigeon.kv
说清除成功了可是每次开机还是都有..关掉IEXPLORE.EXE进程查毒又什么也查不出来,进安全模式也查不出~
谁能帮帮我哈~
最后编辑2005-09-07 14:17:29
分享到:
gototop
 
小园子
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2004-12-31
  • 来自:
发表于: 2005-09-07 13:21 | 只看楼主 短消息 资料
字号: 2楼

谁知道怎么杀呀~帮帮忙
gototop
 
什么情况
头像
飘泊而立狮
  • 帖子:741
  • 注册: 2005-04-02
  • 来自:
发表于: 2005-09-07 13:27 | 短消息 资料
字号: 3楼

iexplorer如果是在program files/internet explorer/下就是正常的,至于后面的那个,灰鸽子,参考http://forum.ikaka.com/topic.asp?board=28&artid=6202404
gototop
 
唐不狐
头像
初生襁褓狮
  • 帖子:138
  • 注册: 2005-09-06
  • 来自:
发表于: 2005-09-07 13:58 | 短消息 资料
字号: 4楼

不同意楼上的,灰鸽子自1.2版本(可能更早)就能够插入ie进程来穿过防火墙了。所以光凭路径来判断是不全面的。鸽子还有隐身插件,能隐藏其自启动服务。所以鸽子运行后正常情况下你是看不到可疑的。办法:1 查端口,既然插入ie,那就查ie的端口;2 用icesword检查,凡是红色显示的都是可疑(如果安装卡巴的话,在SSDT(驱动)那里有个klif.sys也是红色的,不过那是卡巴的)
查杀的话,偶在本版的一个回帖里有详细说明,不再累述。
提示:鸽子是依赖两个dll文件的,在c:\wiundows\system32下,去除系统隐藏属性,就可以找到。
gototop
 
什么情况
头像
飘泊而立狮
  • 帖子:741
  • 注册: 2005-04-02
  • 来自:
发表于: 2005-09-07 14:17 | 短消息 资料
字号: 5楼

引用:
【唐不狐的贴子】不同意楼上的,灰鸽子自1.2版本(可能更早)就能够插入ie进程来穿过防火墙了。所以光凭路径来判断是不全面的。鸽子还有隐身插件,能隐藏其自启动服务。所以鸽子运行后正常情况下你是看不到可疑的。办法:1 查端口,既然插入ie,那就查ie的端口;2 用icesword检查,凡是红色显示的都是可疑(如果安装卡巴的话,在SSDT(驱动)那里有个klif.sys也是红色的,不过那是卡巴的)
查杀的话,偶在本版的一个回帖里有详细说明,不再累述。
提示:鸽子是依赖两个dll文件的,在c:\wiundows\system32下,去除系统隐藏属性,就可以找到。
...........................


谢谢楼上的朋友,旧版灰鸽子(具体是什么版本我不太清楚)它的几个dll文件应该是都在c:\windows下,目前新版的灰鸽子是在C:\windows\下创建文件夹Internet Explorer,并且创建一些一眼就能看出来的文件
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT