亲手清除鸽子
来源:互联网 发布:计时收费软件 编辑:程序博客网 时间:2024/06/02 16:30
亲手清除鸽子
中啦鸽子,安全特警报告(没注意第一次提示没有,这次是故意中的,为拉写这片文章截图)
用卡巴安全套装扫不出
。。。
这次看不到进程拉,!!
查看网络活动,tcpview,
明明没有开浏览器在process里也没看到浏览器进程。。
终于找到啦,<non-existent>:872 TCP clin003:1110 192.168.0.2:8000 SYN_SENT
进程网络连接关啦,还会自动出现建立连接!!
木办法 ,只好禁掉网络连接。。
关掉连接后并没有看到鸽子活动(网络连接)
现在凭借安全特警提供的监视报告,
搜索时显示系统文件。
时间 监控对象 行为描述
2006-12-18 14:26:26 C:/WINDOWS/system32 删除文件: G_Server2006.exe
2006-12-18 14:26:26 C:/WINDOWS/system32 创建了文件: G_Server2006.exe
2006-12-18 14:26:28 C:/WINDOWS/system32 删除文件: G_Server2006.DLL
2006-12-18 14:26:28 C:/WINDOWS/system32 创建了文件: G_Server2006.DLL
2006-12-18 14:26:35 C:/WINDOWS/system32 删除文件: G_SERVER2006KEY.DLL
2006-12-18 14:26:35 C:/WINDOWS/system32 创建了文件: G_SERVER2006KEY.DLL
2006-12-18 14:27:00 C:/WINDOWS/system32 创建了文件: G_SERVER2006KEY.log
2006-12-18 14:35:21 C:/WINDOWS/system32/drivers 创建了文件: PROCEXP100.SYS
2006-12-18 14:35:21 C:/WINDOWS/system32/drivers 删除文件: PROCEXP100.SYS
只有G_SERVER2006KEY.log拉,其他的几个已被删掉啦,不过别被这个log文件迷惑拉,他可是还有作用的(在种鸽子人的主控端再现的时候他就出来啦)
一律删掉。
服务监控报告中
时间 监控对象 行为描述
2006-12-18 14:26:27 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 创建了值: "输入法" 服务被变动,请注意是否是后门木马的修改。
2006-12-18 14:35:21 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 创建了子键: "PROCEXP100" 服务被变动,请注意是否是后门木马的修改。
2006-12-18 14:35:21 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 删除了子键: "splitter" 服务被变动,请注意是否是后门木马的修改。
2006-12-18 14:35:22 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 删除了子键: "PROCEXP100" 服务被变动,请注意是否是后门木马的修改。
2006-12-18 14:35:22 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services 创建了子键: "splitter" 服务被变动,请注意是否是后门木马的修改。
看来这次鸽子只有一个服务创建拉。
基本上没有创建成功,
安全起见,用rootKitRevealer扫下系统里的隐藏文件和注册表,
瓦,还真有,现扫出来先。
最好到安全模式下,找出来kill掉
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Reliability/LastAliveUptime 2006-12-18 15:12 4 bytes Data mismatch between Windows API and raw hive data.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Reliability/LastAliveStamp 2006-12-18 15:12 16 bytes Data mismatch between Windows API and raw hive data.
HKLM/SYSTEM/ControlSet001/Services/ 2006-12-18 14:26 0 bytes Hidden from Windows API.
C:/WINDOWS/system32/G_Server2006.DLL 2006-12-18 14:26 680.00 KB Hidden from Windows API.
C:/WINDOWS/system32/G_Server2006.exe 2006-12-18 14:26 289.41 KB Hidden from Windows API.
C:/WINDOWS/system32/G_SERVER2006KEY.DLL 2006-12-18 14:26 60.50 KB Hidden from Windows API.
。。。
重起到安全模式下。
最好能用killbox或‘安全特警自带的删除组件删除那三个system32下的文件
搜索注册表里的g_server搜到后,kill掉
搜到这对文件,我把他们剪切到一个文件夹里边(若你十分痛恨的话可以直接kill掉)
有四个山不掉竟然。没关系让killbox删
干静啦,世界终于清静啦
---------------------------------------------------
至于安全特警为啥能删掉鸽子的部分文件,个人感觉是因为上次中鸽子时,用安特删除拉那几个文件,侧面说明安特学习能力比较强。。
文件列表:
http://sys-fans.googlegroups.com/web/ast.rar
http://sys-fans.googlegroups.com/web/KillBox.zip
http://sys-fans.googlegroups.com/web/RootkitRevealer.zip
http://sys-fans.googlegroups.com/web/TcpView.zip
http://sys-fans.googlegroups.com/web/ProcessExplorerNt.zip
鸽子版本:vip2006
- 亲手清除鸽子
- 一次亲手清除病毒的过程
- 鸽子用法
- 鸽子情缘
- 鸽子兔子
- [JZOJ5094]鸽子
- 亲手上路
- 女生与鸽子
- 网络“鸽子”病毒猖獗
- 口渴的鸽子
- 蚂蚁与鸽子
- 兔子和鸽子
- 鸽子集结哨
- 生物导航-鸽子
- 鸽子浏览器(序)-鸽子浏览器的由来
- 河北省博物馆广场的鸽子
- 项目被放了鸽子
- 亲手编译uClinux
- 微软upload
- Google打不开的解决方法和IP地址表
- 50种方法巧妙优化你的SQL Server数据库
- 局域网的分组管理和域管理的区别
- 用了一种以前没用过的方法来实现计算24点
- 亲手清除鸽子
- Thread SEH示例2_1
- 史上最无耻的计算机
- 上班第1天!
- 妻子.情人.红颜知己
- 面向各维度的软件复用
- 用SWT实现系统托盘(改进版)
- Jena学习笔记(1)---创建RDF模型
- [Win32] [线程] [NCThread] [NCThreadPool] 线程类、线程管理类