我说Backdoor.Gpigeon.5.do这个瑞星到底能不能杀啊？？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛在线技术支持 在线技术支持[已关闭] 我说Backdoor.Gpigeon.5.do这个瑞星到底能不能杀啊？？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

我说Backdoor.Gpigeon.5.do这个瑞星到底能不能杀啊？？

31391675 初生襁褓狮帖子:6 注册: 2005-10-06 来自:	发表于： 2005-10-06 19:33 \| 显示全部短消息资料字号：小中大 1楼我说Backdoor.Gpigeon.5.do这个瑞星到底能不能杀啊？？病毒分类 WINDOWS下的PE病毒病毒名称 Backdoor.Gpigeon.5.do 　别名　病毒长度危害程度传播途径　行为类型 WINDOWS下的木马程序感染　病毒发作瑞星版本号　 17.43.12 后门病毒“灰鸽子”，Ｄｅｌｐｈｉ编写，采用UPX压缩。主要特点： 1。可以穿越防火墙远程控制用户机器。 2。使用madCodeHook开发包接管若干API,隐藏病毒文件，给用户杀毒造成障碍。病毒的破坏行为如下：一、病毒主程序运行后，把自己复制到系统目录，命名为“1_server.exe”。 Win9x和WinMe下，病毒添加自启动项 SoftWare\Microsoft\Windows\CurrentVersion\Run NT平台下，创建服务“1_Serverx”，以服务的方式启动病毒。二、“1_server.exe”运行后，释放“1_server.dll”，然后把该dll注入到“Explorer.exe” 病毒使用madCodeHook开发包的madRemote模块注模块。以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“1_server.dll”注入到 IEXPLORE.EXE”中。这样，在防火墙看来，病毒的网络访问都是“IEXPLORE.EXE”，而且是80端口，都会认为是正常访问。从进程管理器中，用户看不到可疑进程。三、“1_server.dll”是病毒后门功能模块，每隔30秒钟，向指定网址提交本地信息：系统芯片: 物理内存: Windows版本: Windows目录: 注册公司: 注册用户: 当前用户: 当前日期: 开机时间: 计算机名称: 窗口分辨率: 服务端版本: 安装名称: VIP用户名: 备用上线地址: 上线分组: 上线备注: 连接密码: 服务名称: 服务显示名称: 服务描述信息: 病毒提供下列远程控制功能：安装文件启动键盘记录停止键盘记录结束指定的进程从新启动计算机启动CMD程序执行系统命令获取系统信息共享文件夹从指定的地址中下载文件。　　　四、病毒把“1_Server_Hook.dll”使用madCodeHook开发包接管下列API。 kernel32.dll 的 FindNextFileA、FindNextFileWADVAPI32.DLL 的 EnumServicesStatusA、EnumServicesStatusWntdll.dll 的 NtQuerySystemInformation、NtTerminateProcess －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－说得真明白，可是每次杀完。在杀还是有。这到底是什么杀毒软件啊。。。。。。。我们都是菜鸟不会进入什么注册表杀。买正版软件就是希望安全稳定，方便省事。希望给解决一下。谢谢 2005-10-10 14:42:32
31391675 初生襁褓狮帖子:6 注册: 2005-10-06 来自:	分享到：

31391675 初生襁褓狮帖子:6 注册: 2005-10-06 来自:	发表于： 2005-10-07 16:24 \| 显示全部短消息资料字号：小中大 2楼怎么没人啊，给个话啊？？？？？？？？
31391675 初生襁褓狮帖子:6 注册: 2005-10-06 来自:

31391675 初生襁褓狮帖子:6 注册: 2005-10-06 来自:	发表于： 2005-10-08 19:44 \| 显示全部短消息资料字号：小中大 3楼靠，我在顶一次，没人管就换杀毒软件。。。。。。。
31391675 初生襁褓狮帖子:6 注册: 2005-10-06 来自:

31391675 初生襁褓狮帖子:6 注册: 2005-10-06 来自:	发表于： 2005-10-09 23:12 \| 显示全部短消息资料字号：小中大 4楼 HijackThis_815汉化版扫描日志 V1.99.1 保存于 23:14:09, 日期 2005-10-9 操作系统： Windows 2000 SP4 (WinNT 5.00.2195) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe c:\program files\rising\rfw\rfwsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\WinPoET Broadband Connection\WrOS.EXE C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE c:\program files\rising\rfw\RfwMain.exe C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINNT\system32\internat.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINNT\system32\conime.exe C:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\PROGRAM FILES\RISING\RAV\RavStub.exe c:\program files\rising\rav\RAVMON.EXE c:\program files\rising\rav\RAV.EXE D:\全能音频转换通\全能音频转换通.exe G:\HijackThis 1.99.0\HijackThis1991zww.exe R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll O2 - BHO: AntiFish Class - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\3721\Assist\Angling.dll O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINNT\system32\NaviHelper.dll O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINNT\system32\stdup.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll O2 - BHO: YiSou - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\YiSou\yisoub.dll O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll O3 - IE工具栏增项: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\Program Files\YiSou\yisou.dll O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\Program Files\FastAIT\IEBand.dll O3 - IE工具栏增项: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\rising\Rfw\rfwmain.exe" -Startup O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKCU\..\Run: [Internat.exe] internat.exe O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL/mms.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载 - G:\lflashget\lflashget\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - G:\lflashget\lflashget\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 剪贴板文字: 简 > 繁 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/ClipToTrad O8 - IE右键菜单中的新增项目: 剪贴板文字: 繁 > 简 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/ClipToSim O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm O8 - IE右键菜单中的新增项目: 网页: [简体] 显示 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/PageToSim O8 - IE右键菜单中的新增项目: 网页: [繁体] 显示 - res://C:\Program Files\ALiBaBar\ALiBaBar.dll/RT_HTML/PageToTrad O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方对战平台\GameClient.exe O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab O16 - DPF: {88734439-46D0-42C0-A13F-7E881EE550CF} (Filetran Control) - http://www.bluesky.cn/download/filetran.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6ACF0AF1-D7D4-46E3-BC55-805B3EF7FF9C}: NameServer = 202.96.69.38 202.96.64.68 O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe O23 - NT 服务: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe O23 - NT 服务: WMServer (Windows Mail Server) - Unknown owner - C:\WINNT\IEXPLORERE.EXE O23 - NT 服务: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET Broadband Connection\WrOS.EXE
31391675 初生襁褓狮帖子:6 注册: 2005-10-06 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT