解决灰鸽子变种、Rootkit.Win32.Vanti、Win32.Delf、Win32.Small等

最新推荐文章于 2022-01-23 02:46:35 发布
最新推荐文章于 2022-01-23 02:46:35 发布
阅读量3.1k 收藏
点赞数
分类专栏: 系统安全 系统维护 原创作品 文章标签: c service ie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1089992
版权

endurer 原创
2006-08-17 第1

一位网友的电脑,这两天瑞星开机扫描总报告发现Backdoor.Gpigeon.uql。如:
/------------
病毒名称 处理结果 发现日期 路径文件病毒来源
Backdoor.Gpigeon.uql 清除成功  2006-08-15 18:08 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本机
------------/

使用HijackThis(可以到 http://endurer.ys168.com 下载)扫描log,发现一个可疑项:

/------------
O23 - Service: 程序 - Unknown owner - C:/WINDOWS/H.com.cn.exe
------------/
(下面的修复方法可参考:【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

停止并禁用服务:程序

用WinRAR找到:C:/WINDOWS/H.com.cn.exe

打包备份后删除。

关闭所有文件和文件夹,用HijackThis扫描并修复上面所列O23项。

清空IE临时文件夹

用WinRAR检查c:/、c:/windows、c:/windows/debug,c:/windows/Downloaded Program Files、c:/windows/system32、c:/windows/temp、c:/Documents and Settings/abc/LOCAL Settings/Temp、c:/program files、c:/program files/Internet Explorer、d:/等文件夹,发现可疑文件:

/-------------
Ipdetect.exe.rar
MSDOS.exe(Kaspersky 报为 Trojan-Spy.Win32.Delf.dq
new.exe(Kaspersky 报为 Trojan-Downloader.Win32.Small.bxa
7hqoy.dll(Kaspersky 报为 Rootkit.Win32.Vanti.e
-------------/

也打包备份后删除。 

紫郢剑侠
关注
专栏目录
清除Conficker蠕虫病毒详细步骤
weixin_34413802的博客
08-10 2350
Conficker简介:        Worm:Win32/Conficker.B.9.831 ,利用MS-0867漏洞的蠕虫。        conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefend...
fu-rootkit.rar
12-20
标题 "fu-rootkit.rar" 暗示我们讨论的主题是关于一种名为 "fu-rootkit" 的RootkitRootkit是一种恶意软件,它隐藏在操作系统中,使得攻击者能够秘密地控制受害者的计算机系统,通常用于持续性渗透和数据窃取。这种...
[07-19] 解决灰鸽子变种Rootkit.Vanti.gen等及www.58111.com劫持(第5版)
Purpleendurer@CSDN
07-12 7318
endurer 原创2006-07-19 第5版 补充杀毒软件的反应。2006-07-17 第4版 补充杀毒软件的反应。2006-07-14 第3版 补充杀毒软件的反应。2006-07-13 第2版 补充杀毒软件的反应,在该网友电脑的其它盘发现的恶意程序。2006-07-12 第1版  昨天有网友说他的电脑中的瑞星每次开机自动扫描总是报告发现灰鸽子,实时监控总发现并成功删除Rootkit.
内核木马:Win32.Rootkit.Rogue.Tzim查杀
CSDN1887的博客
09-19 3361
今天发现win8下存在Win32.Rootkit.Rogue.Tzim内核木马.常规使用QQ管家查出来的,以为杀了重启就好了,结果一次次被检出. 切换到win8安全模式,使用QQ急救箱查杀,杀了后,正常重启.还是被QQ管家检出. 然后换其他比如贝壳木马查杀,卡巴斯基的木马查杀,连病毒都没检出. 最后使用金山顽固病毒木马查杀,结果删除了.重启后QQ管家也没没检出. 虽然此软件说明不支持win8,但还...
windows下delf配置:delf测试(三)
babyzbb636的博客
01-23 1598
1、准备 oxbuildings创建data data/oxford5d_images (放影像) data/oxford5d_features (放提取特征) delf_v1_20171026 创建parameters目录存放解压的模型文件 list_image.txt将图像文件名和路径填写到文件中,文件编码为utf-8 2、特征抽取 2.1打开python\example目录下的delf_config_example.pbtxt文件 修改默认输入参数 以下和路径有关均是绝对路径!!!
加载您的驱动程序,如win32k.sys_C++_C_下载
09-02
CallMeWin32kDriver\n加载您的驱动程序,如 win32k.sys\n动机\n该功能是从某PUBG作弊驱动中分析出来的。\n它可以做什么?\n通过 Anti-Rootkit 工具防止直接转储\n绕过 MmCopyMemory\n隐藏世界不触发PG\n如何检测?\n...
一种基于内核定时器和工作队列的Linux rootkit.pdf
09-06
一种基于内核定时器和工作队列的Linux rootkit.pdf
Driver-Loader-for-Rootkit.rar_Load Driver_sys loader_tool
09-24
标题中的"Driver-Loader-for-Rootkit.rar_Load Driver_sys loader_tool"指的是一个专门用于加载内核驱动(.sys文件)的工具,这可能是为了测试、开发或逆向工程目的。下面我们将深入探讨驱动加载机制、.sys文件以及...
RootKit.rar_行业发展研究_Visual_C++_
08-11
本资料“RootKit.rar_行业发展研究_Visual_C++”主要探讨了rootkit技术的发展及其在Windows系统中的应用,同时可能涉及到使用Visual C++进行rootkit开发的方面。 RootKit的发展历程可以追溯到早期的Unix系统,但...
AntiRootkit工具-XueTr 吾爱破解论坛专版2010.11.30更新
12-26
一个强大的手工杀毒工具,支持32位的2000、xp、2003、vista、2008和Win7操作系统。 目前实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举
Win32/Conficker.AA蠕虫搜集资料
02-04
Win32/Conficker.AA ,也被称为W32/Worm.AHGV , Win32.Worm.Downadup ,净Worm.Win32.Kido.bg ,蠕虫: Win32/Conficker , W32/Conficker.worm.gen ,并末/ Conficker ,是一种恶意蠕虫病毒传播的电脑在当地的网络,利用微软Windows Server服务的RPC处理远程代码执行漏洞。 该Win32/Conficker.AA蠕虫病毒可以执行许多骇人听闻的行动,在你的电脑。 Win32/Conficker.AA蠕虫病毒可以阻止您访问安全网站,以及清除系统还原点之前感染您的计算机
一个被挂上木马Trojan-Dropper.MSWord.Lafool.i的政府网站
caobihole
07-03 281
  今天上午8点多,打开一个经常访问的政府网站hxxp://www.**ny.gov.cn,卡巴斯基报警,发现Trojan-Dropper.MSWord.Lafool.i: 中午12点多再此访问此网站,卡巴没有反应。估计是木马被清除了。 Trojan-Dropper.MSWord.Lafool.i的信息:Viruslist.com - Trojan-Dropper.MSWord.Lafoo...
Win32.Rootkit.Lapka.Wozw 木马病毒分析
DeathMemory的专栏
05-15 1915
By: DeathMemory QQ: 123951548 Win32.Rootkit.Lapka.Wozw 木马病毒分析 前言病毒执行流程 整体流程监控服务 代码还原 Base64 加密处理自删除完整流程系统信息收集 前言 近期简单分析了一个下载者+DDos的病毒,还原了一些代码,把大家感兴趣的部分分享出来,仅供学习研究。
Worm.Win32.Delf.bg专杀【萧心论坛发】
weixin_34319374的博客
03-01 135
民间杀毒高手“农夫”最新推出的专杀工具。本站首发。Worm.Win32.Delf.bg专杀工具。 下载地址:[url]http://down.crfly.com/DownLoadSF0000000169.aspx[/url] 设计申明: 这次我的动作慢了太多,不过唯一让我欣慰的是,某些官方的解决方式都是只把节表和入口点等参数修改了一下,病毒数据还是没有去掉,...
worn.win32.delf.cc(儒虫病毒)
bee100的专栏
12-24 331
我也中招了,跟你情况差不多,是不是打开盘符的时候要重新打开一个窗口?好像是什么 蠕虫病毒。把进程绑定发到explorer.exe上让你在任务管理器中觉察不到异常进程。我的系统 是XP的 我是这样清除的:1。首先你要有杀毒软件,例如:卡巴斯基 2。ctrl+alt+del打开任务管理器,结束explorer.exe。 3。在任务管理器中选择 文件——新建任务,打开卡巴斯...
关于Win32/Parite.a病毒
叶落无声
06-28 1908
       前段时间不小心中了Win32/Parite.a这个病毒,上网Google了一下它的资料:Win32/Parite.a的病毒程序用C++编写,组成的组件是由汇编程序编写的,感染的文件运行后,直接控制病毒生成文件使其将病毒文件写为临时文件并执行它的感染程序,并在逻辑硬盘和局域网里的共享目录里搜索所有.scr和.exe类型的Win32 PE格式文件进行感染。运行时,病毒会附加在Explor
Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2
Purpleendurer@CSDN
07-16 1542
 Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2endurer 原创2008-07-16 第1版(续1)log中的一些项目与 sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jp
CNNIC.RAR_ROOTKIT驱动程序深度解析
资源摘要信息:"cnnic.rar_rootkit是一个与CNNIC(中国互联网络信息中心)相关的rootkit驱动程序。rootkit是一种恶意软件,通常被设计为隐藏在系统中,并且能够提供对系统的非法访问。该驱动程序可能利用底层系统漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值