[收藏本方案]

手工查杀灰鸽子Backdoor.GPigeon等病毒(第2版)[1]

[入库:2006年2月23日] [更新:2007年3月24日]

本文简介:
首页 下页 尾页 [1] [2]

关键词瑞星    灰鸽子    GPigeon                                          

endurer 原创

2005.11.19 第2版 补充瑞星关于可疑服务Cryptographic Servicesini的文件C:\WINDOWS\system.exe的回复。

2005.11.16 第1

今晚到一位朋友家玩,用他的电脑上网。打开QQ前,我习惯性的先用杀毒软件扫描内存和Windows系统文件夹(这是个好习惯^_^)。这台电脑使用Windows XP SP1,装有瑞星,用的是我送的瑞星年卡。结果内存发现灰鸽子和其他一些病毒!如下图所示(为了获取病毒样本,我把瑞星的设置里的”发现病毒时“设为”忽略“)。


2005-11-16 21:9:40 瑞星杀毒助手
Windows XP (5.1.2600 Service Pack 1)
文件名 病毒名
csrss.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
winlogon.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
services.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
lsass.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
spoolsv.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
alg.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
IEXPLORE.EXE>>C:\WINDOWS\system.DLL Backdoor.GPigeon
IEXPLORE.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
CCENTER.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot
Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
igfxtray.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
hkcmd.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
SOUNDMAN.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
realsched.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
RAVTIMER.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
ctfmon.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
SwitchNet.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
GreenBrowser.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
WinRAR.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
notepad.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
Rav.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
C:\WINDOWS\system32\d11host.exe Trojan.DL.98link
C:\WINDOWS\system32\GLIEDown.dll.bak Backdoor.Agent.aen
C:\WINDOWS\system.DLL Backdoor.GPigeon
C:\WINDOWS\system_HOOk.DLL Backdoor.GPigeon.xb

这位朋友听别人说瑞星实时监控占用系统资源多,所以安装瑞星时没有安装实时监控模块。再检查瑞星的详细设置里的“定制任务”里的“开机扫描”项,“系统启动时扫描引导区”和“系统启动时扫描系统内存”都没有选定。朋友说是觉得瑞星启动速度慢,所以没有使用这一项。


在使用windows 2000/XP的电脑中,灰鸽子一般会有一个系统服务启动项。

使用HijackThis扫描(您可以到http://endurer.ys168.com的tools\系统分析和修复里下载HijackThis ),发现了一个可疑的系统服务项(瑞星居然没报?):

O23 - Service: Cryptographic Servicesini - Unknown owner - C:\WINDOWS\system.exe

*2005.11.19 第2补充:瑞星关于可疑服务Cryptographic Servicesini的文件C:\WINDOS\SYSTEM.EXE的回复:

发件人:send@rising.net.cn 发送时间:2005-11-19 11:49:35

首页 下页 尾页 [1] [2]
本文关键:手工查杀灰鸽子Backdoor.GPigeon等病毒(第2版)
  相关方案
Google
 

本站最佳浏览方式为 分辨率 1024x768 IE 6.0(或更高版本的 IE浏览器)

go top