抓到一只灰鸽子和一匹木马/广告程序
来源:互联网 发布:淘宝 虚拟交易 编辑:程序博客网 时间:2024/05/01 13:40
endurer 原创
2006-10-05 第1版
有一位网友的电脑,最近电脑开机时瑞星会报告发现顽固的灰鸽子 Backdoor.Gpigeon.uql
到 http://endurer.ys168.com 下载 HijackThis 扫描log,发现可疑项:
/-----------
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd)-Unknown owner - %ProgramFiles%/WinPcap/rpcapd.exe" -d -f "%ProgramFiles%/WinPcap/rpcapd.ini (file missing)
O23 - NT 服务: systemPigeo (system) - Unknown owner - C:/WINDOWS/win32.exe
-----------/
(以下修复工作中有关操作方法可参考:【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html)
重新启动到安全模式
开始--》设置--》控制面板--》管理工具--》服务,停止并禁用服务:
/-----------
systemPigeo (system)
Remote Packet Capture Protocol v.0 (experimental) (rpcapd)
-----------/
用WinRAR找到文件:
/-----------
C:/WINDOWS/win32.exe(采用 BJFNT 1.1b -> :MARQUiS: 加壳。)
C:/WINDOWS/system32/drivers/inf/soconfig.exe(Kaspersky 报为 not-a-virus:AdWare.Win32.BHO.ac,DrWeb 报为 Trojan.DownLoader.6847)
C:/WINDOWS/system32/drivers/inf/socfg.dll(其实是一个文本文件,存放弹出窗口的信息)
-----------/
压缩打包备份后删除。
关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描在上面所列可疑项目前打上勾,然后点[修复](Fix)。
清空IE临时文件夹
- 抓到一只灰鸽子和一匹木马/广告程序
- 斩了2个灰鸽子、1个木马、1个广告程序
- 灰鸽子木马的原理和清除方法
- 代理木马”变种和“灰鸽子”变种
- 灰鸽子木马技术特点
- 灰鸽子木马来源追踪
- 解密木马帝国灰鸽子
- 清除了灰鸽子新变种、几个广告程序
- 遭遇灰鸽子变种、Viking 和 N多木马(第2版)
- 一个灰鸽子、一个很棒小秘书新变种、几个广告程序
- 木马的检测与清除(灰鸽子)
- 【如何删除taskmer.exe进程灰鸽子木马】
- 如何删除taskmer.exe进程灰鸽子木马
- 广告程序“揭发”传奇网游盗号木马等
- 灰鸽子和源代码
- 模式和匹配器
- “灰鸽子”网页木马从原理、制作到防范
- 遭遇灰鸽子2006、魔兽盗号木马等
- 学习ASP.NET````
- 内存管理
- 过桥问题?
- c/c++中指针学习的两个绝好例子
- 软件调研不要期望一定性锁定需求
- 抓到一只灰鸽子和一匹木马/广告程序
- Tomcat配置和Web应用程序开发
- 吵架了,吵架了
- Cookie和Session专题
- WinCE4.2下轻松调用Windows Media Player 控件
- 天坛游记
- 第一章 什么是游戏?(一)
- 欣赏
- 如何给客户写ERP系统的解决方案?