[08-01] 再斩灰鸽子Backdoor.Gpigeon.uql新变种(第3版)
来源:互联网 发布:产品介绍动画制作软件 编辑:程序博客网 时间:2024/04/30 14:41
endurer 原创
2006-07-31 第3版补充杀毒软件的反应。
2006-07-30 第2版补充杀毒软件的反应。
2006-07-29 第1版
昨天,有位网友的说,他电脑上的瑞星开机自动扫描总报告:
-----------
Backdoor.Gpigeon.uql 清除成功 2006-07-28 16:01 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本机
-----------
于是通过QQ进行远程协助。
该网友电脑使用的是Windows XP SP2。
到 http://endurer.ys168.com 下载了HijackThis 扫描log,发现如下可疑项目:
------------------
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - Global Startup: IE-BAR.lnk = C:/WINDOWS/system32/rundll32.exe
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O23 - Service: servic - Unknown owner - C:/WINDOWS/servic
------------------
想通过控制面板里的管理工具中的“服务”控制台来停止并禁用 servic 服务,但系统提示MMC版本太低,不能打开“服务”控制台。晕!
当然我们可以尝试用 net stop 命令来停止 servic 服务,不过远程协助中的命令提示符下速度太慢了。
到 http://endurer.ys168.com 下载了IceSword,把 servic 服务 禁用(Disable)了。
不过 还是不能对文件 C:/WINDOWS/servic 进行操作,系统总提示这个文件被其它进程使用。IceSword在远程协助中操作也相当慢。
为了获取样本,所以不用“下次启动时删除文件”程序来删除 C:/WINDOWS/servic.
于是先到 c:/program files/IE-BAR/cast文件夹,卸载了 IE-BAR。
然后关闭所有文件夹窗口和浏览器窗口,用HijackThis修复上面所列的可疑项目。
重启电脑。
瑞星不再报告发现 Backdoor.Gpigeon.uql 了。
把可疑文件 C:/WINDOWS/servic 和 c:/windows/ssjy.exe 打包备份后删除。
Kaspersky 报为 Backdoor.Win32.Hupigon.pv。
江民KV 报为 Backdoor/Huigezi.deq。
- [08-01] 再斩灰鸽子Backdoor.Gpigeon.uql新变种(第3版)
- 干掉了一只灰鸽子/Backdoor.Gpigeon.uql新变种
- 又干掉了一只灰鸽子/Backdoor.Gpigeon.uql新变种
- 干掉了一个灰鸽子/Backdoor.Gpigeon.uql变种
- 遭遇灰鸽子BackDoor.Gpigeon.ymg新变种
- 顽固的灰鸽子 Backdoor.Gpigeon.uql 变种 Backdoor.Win32.Hupigon.cda
- 又收到关于灰鸽子Backdoor.Gpigeon.uql的问题
- 续:又收到关于灰鸽子Backdoor.Gpigeon.uql的问题
- 手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)
- [2006-04-15]明修栈道、暗渡陈仓的灰鸽子BackDoor.Gpigeon.5.dq(第3版)
- 关于病毒Backdoor.Gpigeon.uql
- [07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)
- 斩杀灰鸽子Backdoor.Gpigeon.gqs/Backdoor.Win32.Hupigon.cce等
- 类似灰鸽子的木马的清除 Backdoor.Gpigeon.bhv Backdoor.Gpigeon.cdd
- 一位网友的电脑中了灰鸽子Backdoor.Gpigeon.iir
- [2006-04-28]手工清除灰鸽子新变种(第5版)
- [07-19] 解决灰鸽子新变种、Rootkit.Vanti.gen等及www.58111.com劫持(第5版)
- 某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
- 在spring中如何配置的log4j
- DUnit基本使用
- 【转贴】剖析ASP.NET2.0站点导航功能之建立导航
- Linux FAQ 之三——系统设置篇
- oracle-检查对象存在与否,并建立相应对象--plsql中使用DDL语句如Create 等
- [08-01] 再斩灰鸽子Backdoor.Gpigeon.uql新变种(第3版)
- JavaScript中类的实现
- Hibernate 访问多个数据库
- 《ASP网络编程》学习笔记之二
- search花絮之索引压缩
- 为什么要使用EJB?
- 终于决定动手了
- 3.5毫米转2-RCA音频线能否解决我的问题?
- Using Binary Heaps in A* Pathfinding