endurer 原创
2006-07-31 第3版补充杀毒软件的反应。
2006-07-30 第2版补充杀毒软件的反应。
2006-07-29 第1版
昨天,有位网友的说,他电脑上的瑞星开机自动扫描总报告:
-----------
Backdoor.Gpigeon.uql 清除成功 2006-07-28 16:01 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本机
-----------
于是通过QQ进行远程协助。
该网友电脑使用的是Windows XP SP2。
到 http://endurer.ys168.com 下载了HijackThis 扫描log,发现如下可疑项目:
------------------
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - Global Startup: IE-BAR.lnk = C:/WINDOWS/system32/rundll32.exe
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O23 - Service: servic - Unknown owner - C:/WINDOWS/servic
------------------
想通过控制面板里的管理工具中的“服务”控制台来停止并禁用 servic 服务,但系统提示MMC版本太低,不能打开“服务”控制台。晕!
当然我们可以尝试用 net stop 命令来停止 servic 服务,不过远程协助中的命令提示符下速度太慢了。
到 http://endurer.ys168.com 下载了IceSword,把 servic 服务 禁用(Disable)了。
不过 还是不能对文件 C:/WINDOWS/servic 进行操作,系统总提示这个文件被其它进程使用。IceSword在远程协助中操作也相当慢。
为了获取样本,所以不用“下次启动时删除文件”程序来删除 C:/WINDOWS/servic.
于是先到 c:/program files/IE-BAR/cast文件夹,卸载了 IE-BAR。
然后关闭所有文件夹窗口和浏览器窗口,用HijackThis修复上面所列的可疑项目。
重启电脑。
瑞星不再报告发现 Backdoor.Gpigeon.uql 了。
把可疑文件 C:/WINDOWS/servic 和 c:/windows/ssjy.exe 打包备份后删除。
Kaspersky 报为 Backdoor.Win32.Hupigon.pv。
江民KV 报为 Backdoor/Huigezi.deq。
扫一扫
130
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
