亲手清除鸽子

亲手清除鸽子

中啦鸽子，安全特警报告(没注意第一次提示没有,这次是故意中的,为拉写这片文章截图)

用卡巴安全套装扫不出

。。。
这次看不到进程拉，！！

查看网络活动，tcpview，

明明没有开浏览器在process里也没看到浏览器进程。。

 

终于找到啦，<non-existent>:872 TCP clin003:1110 192.168.0.2:8000 SYN_SENT 

进程网络连接关啦，还会自动出现建立连接！！

木办法 ，只好禁掉网络连接。。

关掉连接后并没有看到鸽子活动（网络连接）

 

现在凭借安全特警提供的监视报告，

搜索时显示系统文件。

 

时间 监控对象 行为描述
2006-12-18 14:26:26 C:/WINDOWS/system32 删除文件: G_Server2006.exe
2006-12-18 14:26:26 C:/WINDOWS/system32 创建了文件: G_Server2006.exe
2006-12-18 14:26:28 C:/WINDOWS/system32 删除文件: G_Server2006.DLL
2006-12-18 14:26:28 C:/WINDOWS/system32 创建了文件: G_Server2006.DLL
2006-12-18 14:26:35 C:/WINDOWS/system32 删除文件: G_SERVER2006KEY.DLL
2006-12-18 14:26:35 C:/WINDOWS/system32 创建了文件: G_SERVER2006KEY.DLL
2006-12-18 14:27:00 C:/WINDOWS/system32 创建了文件: G_SERVER2006KEY.log
2006-12-18 14:35:21 C:/WINDOWS/system32/drivers 创建了文件: PROCEXP100.SYS
2006-12-18 14:35:21 C:/WINDOWS/system32/drivers 删除文件: PROCEXP100.SYS
只有G_SERVER2006KEY.log拉，其他的几个已被删掉啦，不过别被这个log文件迷惑拉，他可是还有作用的（在种鸽子人的主控端再现的时候他就出来啦）

一律删掉。

服务监控报告中
时间 监控对象 行为描述
2006-12-18 14:26:27 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 创建了值: "输入法" 服务被变动，请注意是否是后门木马的修改。
2006-12-18 14:35:21 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 创建了子键: "PROCEXP100" 服务被变动，请注意是否是后门木马的修改。
2006-12-18 14:35:21 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 删除了子键: "splitter" 服务被变动，请注意是否是后门木马的修改。
2006-12-18 14:35:22 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 删除了子键: "PROCEXP100" 服务被变动，请注意是否是后门木马的修改。
2006-12-18 14:35:22 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 创建了子键: "splitter" 服务被变动，请注意是否是后门木马的修改。

看来这次鸽子只有一个服务创建拉。
基本上没有创建成功，

安全起见，用rootKitRevealer扫下系统里的隐藏文件和注册表，

瓦，还真有，现扫出来先。

最好到安全模式下，找出来kill掉
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Reliability/LastAliveUptime 2006-12-18 15:12 4 bytes Data mismatch between Windows API and raw hive data.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Reliability/LastAliveStamp 2006-12-18 15:12 16 bytes Data mismatch between Windows API and raw hive data.
HKLM/SYSTEM/ControlSet001/Services/ 2006-12-18 14:26 0 bytes Hidden from Windows API.
C:/WINDOWS/system32/G_Server2006.DLL 2006-12-18 14:26 680.00 KB Hidden from Windows API.
C:/WINDOWS/system32/G_Server2006.exe 2006-12-18 14:26 289.41 KB Hidden from Windows API.
C:/WINDOWS/system32/G_SERVER2006KEY.DLL 2006-12-18 14:26 60.50 KB Hidden from Windows API.

。。。
重起到安全模式下。

 

最好能用killbox或‘安全特警自带的删除组件删除那三个system32下的文件
搜索注册表里的g_server搜到后，kill掉

搜到这对文件，我把他们剪切到一个文件夹里边（若你十分痛恨的话可以直接kill掉）
有四个山不掉竟然。没关系让killbox删

 

干静啦，世界终于清静啦
---------------------------------------------------

至于安全特警为啥能删掉鸽子的部分文件，个人感觉是因为上次中鸽子时，用安特删除拉那几个文件，侧面说明安特学习能力比较强。。 

 

文件列表:

http://sys-fans.googlegroups.com/web/ast.rar

http://sys-fans.googlegroups.com/web/KillBox.zip

http://sys-fans.googlegroups.com/web/RootkitRevealer.zip

http://sys-fans.googlegroups.com/web/TcpView.zip

http://sys-fans.googlegroups.com/web/ProcessExplorerNt.zip

 

鸽子版本:vip2006