endurer 原创
2006-07-31 第3版补充杀毒软件的反应。
2006-07-30 第2版补充杀毒软件的反应。
2006-07-29 第1版
昨天,有位网友的说,他电脑上的瑞星开机自动扫描总报告:
-----------
Backdoor.Gpigeon.uql 清除成功 2006-07-28 16:01 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本机
-----------
于是通过QQ进行远程协助。
该网友电脑使用的是Windows XP SP2。
到 http://endurer.ys168.com 下载了HijackThis 扫描log,发现如下可疑项目:
------------------
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - Global Startup: IE-BAR.lnk = C:/WINDOWS/system32/rundll32.exe
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O23 - Service: servic - Unknown owner - C:/WINDOWS/servic
------------------
想通过控制面板里的管理工具中的“服务”控制台来停止并禁用 servic 服务,但系统提示MMC版本太低,不能打开“服务”控制台。晕!
当然我们可以尝试用 net stop 命令来停止 servic 服务,不过远程协助中的命令提示符下速度太慢了。
到 http://endurer.ys168.com 下载了IceSword,把 servic 服务 禁用(Disable)了。
不过 还是不能对文件 C:/WINDOWS/servic 进行操作,系统总提示这个文件被其它进程使用。IceSword在远程协助中操作也相当慢。
为了获取样本,所以不用“下次启动时删除文件”程序来删除 C:/WINDOWS/servic.
于是先到 c:/program files/IE-BAR/cast文件夹,卸载了 IE-BAR。
然后关闭所有文件夹窗口和浏览器窗口,用HijackThis修复上面所列的可疑项目。
重启电脑。
瑞星不再报告发现 Backdoor.Gpigeon.uql 了。
把可疑文件 C:/WINDOWS/servic 和 c:/windows/ssjy.exe 打包备份后删除。
servic
Kaspersky 报为 Backdoor.Win32.Hupigon.pv。
江民KV 报为 Backdoor/Huigezi.deq。
分享到:
相关推荐
工具介绍-the-backdoor-factory(第九课).docx
生产使用的Linux.BackDoor.Gates.5木马处理文档!
Backdoor.Win32.Delf.aws 病毒样本。
熊猫卫士 9.05.01 2010.09.27 2010-09-27 3.69 - 趋势科技 9.120-1004 7.494.17 2010-09-27 0.05 - Quick Heal 11.00 2010.09.27 2010-09-27 2.63 - 瑞星 20.0 22.66.06.01 2010-09-26 2.20 - Sophos 3.11.2 4.57 ...
【病毒名称】:Backdoor.Win32.Hupigon.dsx 【病毒类型】:后门 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 病毒运行后,首先修改该系统时间,致使一些杀软安软因系统时间不符...
root@kali:~/backdoor# apxs -i -a -c mod_backdoor.c && service apache2 restart /usr/share/apr-1.0/build/libtool --mode=compile --tag=disable-static x86_64-linux-gnu-gcc -prefer-pic -pipe -g -O2 -...
simple-py-backdoor-master.rar
国外安全研究员在2014年8月发出的一篇关于Absolute公司的防盗追踪软件存在安全风险的技术分析文章。
Backdoor-CTF-Crypto-400.rar
大马文件
delphi Backdoor.Metarage
chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile................自定义文件读写示例 \CreateDLL.................DLL的创建示例 \YSCall..............
光盘目录说明{第1章 基础知识}chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile................自定义文件读写示例 \CreateDLL.................DLL的...
chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile................自定义文件读写示例 \CreateDLL.................DLL的创建示例 \YSCall..............
chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile................自定义文件读写示例 \CreateDLL.................DLL的创建示例 \YSCall..............
chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile................自定义文件读写示例 \CreateDLL.................DLL的创建示例 \YSCall..............
chap01\Regedit...................注册表读写示例 \IniFile...................Ini文件读写示例 \CustomFile................自定义文件读写示例 \CreateDLL.................DLL的创建示例 \YSCall..............
ASP.NET源码——ASP.NET Web BackDoor.zip