baohe斑竹来看这个鸽子!
这个鸽子加壳作的非常棒 2006年1月20号中的它! 至今已6月19号 了半年多了! 还不能被各大杀毒软件的监控所查杀!!解压后查这个文件也没毒 只是运行的时候才会报警!并且无法清除 重起后还会有!
进程名称: F:\病毒样本库\灰鸽子毒-加壳作的非常好\灰鸽子.exe
路径: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
数值名称: wextract_cleanup0 数值数据: rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNo 操作日期: 2006-06-19 23:02 操作方式: 修改 操作结果: 拒绝修改
病毒名称: Backdoor.Gpigeon.2006.a
处理结果: 删除成功
发现日期: 2006-06-19 23:02
扫描方式: 文件监控 路径: C:\WINDOWS\system32 文件: winsspool.DLL
还有两个释放到C:\WINDOWS\system32\winsspool.DLL和 winsspool.EXE我也保留了!winsspool.DLL会被报毒 而 winsspool.EXE正常不会报为病毒!但是一看创建日期就知道是哪个鸽子释放的!用江民和金山的可疑文件扫描工具 可疑扫描出! 哪个毒杀不掉重起还会有关键就是winsspool.EXE这个文件注入开机自动服务为:Microsoft(R) Windows(R) Operat:为家庭和小型办公网络提供网络地址转换、寻址和名称解析管理信息:C:\WINDOWS\system32\winsspool.exe
晕了 希望 baohe斑竹 研究一下 呵呵
样本发到你的邮箱里了
