遭遇灰鸽子变种、Viking 和 N多木马(第2版)

最新推荐文章于 2018-11-22 22:53:00 发布
最新推荐文章于 2018-11-22 22:53:00 发布
阅读量2.3k 收藏
点赞数
分类专栏: 系统安全 文章标签: c internet 杀毒软件 service windows system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1192002
版权

endurer 原创

2006-09-08 第2版 补充杀毒软件的反应
2006-09-07 第1

有位网友的电脑,总告发现Backdoor.Gpigeon.uql。

于是通过QQ进行远程协助。

http://endurer.ys168.com 下载了HijackThis 扫描log,发现如下可疑项目:


/-------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:22:51, on 2006-9-7
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:/Program Files/Microsoft/svhost32.exe
C:/Program Files/LetsCool/LetsCool.exe
C:/Program Files/Zcom/ZComService.exe
C:/Program Files/Zcom/skin.dll
C:/Program Files/Internet Explorer/7Sy.exe

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)

F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe

O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRA~1/Yahoo!/ASSIST~1/Assist/yasbar.dll

O2 - BHO: (no name) - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:/WINDOWS/system32/ssup.dll

O2 - BHO: MAngle Class - {9A556B8F-FD02-420E-A1FD-9DB33808254E} - C:/Program Files/MySec/secmouseaan.dll

O3 - Toolbar: My 网蜜(&M) - {102293E4-758B-4483-946B-714EBCEC91B8} - C:/Program Files/MySec/secbaraan.dll

O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - F:/音乐/KuGoo3/KuGoo3DownXControl.ocx

O2 - BHO: Letscool System Helper - {F0C15012-7DBD-4068-95A2-0A82DB03AC35} - C:/WINDOWS/system32/CoolBho.dll

O4 - HKLM/../Run: [ms] C:/Program Files/Microsoft/svhost32.exe

O4 - HKLM/../Run: [LetsCool] C:/Program Files/LetsCool/LetsCool.exe

O4 - HKLM/../Run: [stup.exe] C:/PROGRA~1/TENCENT/Adplus/stup.exe

O4 - HKLM/../Run: [_rx] C:/WINDOWS/rundll32.exe


O23 - Service: systen - Unknown owner - C:/WINDOWS/Hacker.com.cn.exe
-------------------------/

(下面的修复方法可参考:【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

停止并禁用服务:systen

http://endurer.ys168.com 下载 ProcView,终止进程:
/-------------------------
C:/Program Files/Microsoft/svhost32.exe
C:/Program Files/LetsCool/LetsCool.exe
C:/Program Files/Zcom/ZComService.exe
C:/Program Files/Zcom/skin.dll
C:/Program Files/Internet Explorer/7Sy.exe
-------------------------/

用WinRAR检查下列文件夹,发现:


c:/
=====================================
internt.hta(Kaspersky 报为 Trojan-PSW.Win32.QQPass.hn
rar.hta(Kaspersky 报为 Trojan-Downloader.JS.Small.cq
vidll.dll(Kaspersky 报为 Worm.Win32.Viking.r,瑞星 报为 Worm.Viking.aa


C:/Documents and Settings/user/Local Settings/temp
=====================================
g0ld.com((Kaspersky 报为 Worm.Win32.Viking.r,DrWeb 报为 Win32.HLLW.Gavir.8瑞星 报为 Worm.Viking.aa
qq4[1].exe(Kaspersky 报为 Trojan.Win32.Delf.rf,DrWeb 报为 Trojan.PWS.Spywoool


C:/Program Files
=====================================
svhost32.exe(DrWeb 报为 Trojan.PWS.Lineage


C:/Program Files/Internet Explorer
=====================================
0Sy.exe(Kaspersky 报为 Trojan.Win32.Delf.rf,DrWeb 报为 Trojan.PWS.Spywoool
3Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Lineage.aih,DrWeb 报为 Trojan.PWS.Lineage
4Sy.exe(Kaspersky 报为 Trojan.PSW.Win32.Lineage.pj,DrWeb 报为 Trojan.PWS.Lineage
5Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Agent.ic
6Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Agent.ic
7Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Lineage.acw,DrWeb 报为 Trojan.PWS.Lineage

C:/Program Files/LetsCool
=====================================
LetsCool.exe(DrWeb 报为 Adware.Letscool
Picdown.exe(DrWeb 报为 Trojan.DownLoader.12193

C:/Program Files/Microsoft
=====================================
svhost32.exe(DrWeb 报为 Trojan.PWS.Lineage

c:/windows
=====================================
rundll32.exe(图标类似记事本,Kaspersky 报为 Trojan-PSW.Win32.Lineage.aih
rundl132.exe(Kaspersky 报为 Worm.Win32.Viking.r,瑞星 报为 Worm.Viking.aa,DrWeb 报为 Win32.HLLW.Gavir.8

c:/windows/system32
=====================================
a.exe(DrWeb 报为 Tool.DialupPass.243
dllwm.dll(Kaspersky 报为 Trojan-PSW.Win32.Lineage.acw,DrWeb 报为 Trojan.PWS.Lineage
dllz.dll(Kaspersky 报为 Trojan-PSW.Win32.Lineage.aih
Hacker.com.cn.exe(Kaspersky 报为 Backdoor.Win32.Hupigon.cgw,DrWeb 报为 BackDoor.Pigeon.36
msdll.dll(Kaspersky 报为 Trojan-PSW.Win32.Lineage.agl,DrWeb 报为 Trojan.PWS.Lineage
nt.exe(Kaspersky 报为 Trojan-Downloader.Win32.Small.dgc
nt.dll(Kaspersky 报为 Trojan-Downloader.Win32.Agent.apt
svhost32.exe(DrWeb 报为 Trojan.PWS.Lineage
Upzgy.exe

打包备份后删除。


关闭所有文件夹窗口,用HijackThis扫描并修复上面所列项目。

卸载:雅虎助手,LetsCool,Zcom

清空IE临时文件夹

清空 C:/Windows/temp 文件夹

清空 C:/Documents and Settings/user/Local Settings/temp 文件夹 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
代理木马变种和“鸽子变种
程序时代
03-30 1372
英文名称:TrojanDropper.Agent.aiur 中文名称:“代理木马变种aiur 病毒长度:9813字节 病毒类型:木马 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 MD5 校验:9ef5aa08c004a5e6e3f3b6c37815b263 特征描述: TrojanDropper.Agent.aiur“代理木马”变
操作123456
qq_65648226的博客
04-28 3340
1.拼音缩写函数 DELIMITER $$ USE `mpos`$$ CREATE FUNCTION `mysql`.`pysx`( wz VARCHAR(20)) RETURNS VARCHAR(20) CHARSET utf8 BEGIN SET @i=1; SET @mcsx=''; SET @len=CHAR_LENGTH(wz); WHILE(@i<=@len) DO S...
威金病毒(viking)症状和治理方法(rundl132.exe,logo1_.exe以及dll.dll)
clubsondy的专栏
02-04 2736
 威金病毒(viking)症状和治理方法(rundl132.exe,logo1_.exe以及dll.dll) 如果进程中发现rundl132.exe,logo1_.exe以及dll.dll,文件在windows目录下,那么你的硬盘上肯定能搜索出成千上万的‘_desktop.ini’文件!几乎所有的exe文件也就被感染了!首先,我还是建议你用最新的,以下推荐的杀毒软件等杀毒,因为手工清除
对 Trojan.DL.Win32.Mnless.yxx / alg.exe 的一点分析
Purpleendurer@CSDN
02-21 1597
对 Trojan.DL.Win32.Mnless.yxx / alg.exe 的一点分析endurer 原创2008-02-21 第1就是Worm.Win32.Diskgen.gen/磁碟机也捎带广告?http://blog.csdn.net/Purpleendurer/archive/2008/02/20/2110363.aspx中的捕获的一个病毒文件。文件说明符 : C:
某网络硬盘网站被植入传播Trojan.DL.Inject.xz等的代码
Purpleendurer@CSDN
04-30 2084
endurer 原创2007-04-30 第1该网站的留言板页面:/---<Iframe id="fralyb" name="fralyb2" src="kh_lyb.aspx?user=2**5***" scrolling="auto" frameborder="0" width=100% height="100%"></iframe>---/被植入代码:/---<iframe src
mxcc.rar_Viking
09-14
对于大型项目,还需要考虑多线程环境下的同步和互斥问题,以防止数据竞争和死锁。 综上所述,"mxcc.rar_Viking" 包含的资源是针对Viking微控制器的MXCC模块的,其中 "mxcc.h" 描述了MXCC寄存器的结构和功能,而 ...
Git-Viking:完成和进行中的开发指导工作
03-04
7. **报告和统计**:通过收集和分析数据,Git-Viking可以生成关于开发进度、代码质量、团队效率等多方面的报告,这对于项目管理和决策制定非常有价值。 8. **集成其他服务**:Git-Viking可能与其他开发工具和服务...
the_viking:用于 Ruby 和 Rails 的 Akismet 反垃圾邮件服务
07-07
用于 Ruby 和 Rails 的反垃圾邮件服务 ==== TheViking -是重新打包,不支持 Defensio 反垃圾邮件服务 是一个分支。 这个 gem 的错误修复和新功能应该放在这里。 安装 将此行添加到应用程序的 Gemfile 中: gem '...
spygame:基于Pygame和Level-TMX文件的2D游戏引擎
02-03
TMX文件是Tiled Map Editor生成的地图数据格式,允许开发者创建和管理2D游戏世界,包括地图层、对象、图像和元数据。 **Pygame介绍** Pygame是Python编程语言中用于开发2D游戏的一个模块集合。它包含了创建游戏所...
又是神经网络!还能用来盗取XX女演员信息
weixin_33854644的博客
05-02 951
四月初,名为Egor Tsvetkov的俄罗斯摄影师利用照片和应用程序FindFace(能利用面部识别将社交媒体帐户信息与照片联系起来的神经网络),向我们展示了我们究竟故意在网上泄露了多少信息。不幸的是,他试图警告我们的东西已经变为了现实。 据Global Voices报道,在俄罗斯媒体报道了Tsvetkov的项目过后三天,俄罗斯类似4Chan的在线...
瑞星viking专杀
08-04
瑞星viking专杀,瑞星viking专杀,比较实用
扫出100多个病毒,3个隐身进程(第4
Purpleendurer@CSDN
03-08 3015
endurer 原创2006.03.11 第4 瑞星将C:/WINDOWS/ .exe报为Trojan.DL.Agent.fej2006.03.10 第3 江民回复说C:/WINDOWS/ .exe为新病毒,病毒名待测试2006.03.09 第2 补充了出错提示框的处理2006.03.08 第1今天一个朋友的电脑启动慢,还有出错提示框,上网慢,还不定期弹广告,让偶帮忙理一下。开
威金病毒(viking)症状和治理方法
Be Loved&Lonely
06-06 2717
症状总结一: 一、该病毒特点: 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 该病毒猈indows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特
离职华为人的感受
weixin_30835649的博客
08-24 236
发信站: 瀚海星云 (2010年08月23日09:17:29 星期一), 站内信件 WWWPOST本人在华为待了大概10个月时间,工号159xxx,只能算是个毛孩子,对公司的了解还不够深刻。下面这些东西是当时离开公司的时候写的。我所在的部门是在GTS,客户支持服务部的中国GTAC,估计很多同事都知道我是谁了。先说明,我了解的东西是基于我所在的部门和职位,奶总的职位我不了解,和奶总一起喝酒吃饭很多,...
一个被加入自动下载鸽子的代码的网站
Purpleendurer@CSDN
01-06 1888
endurer 原创2007-01-06 第1网站首页被加入<iframe>代码,引入网页 he1p.html。he1p.html 的内容为填入多余空格的VBScript脚本代码,分为两个部分。第1部分功能为:利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 01.exe,保存为C:/windows/gz.exe。
鸽子木马的使用
热门推荐
我还在的博客
10-06 1万+
鸽子木马的使用0x00 前言0x01 环境0x02 利用过程 0x00 前言 这是我对鸽子木马的使用 的学习记录。 0x01 环境 服务端:windows XP sp3 客户端:windows XP sp3 0x02 利用过程 1.相互ping通 2.在客户端启动鸽子木马 3.打开程序,配置一个服务器端,服务器配置ip地址为本客户端,即被通知方的ip地址;上线分组选择默认自动上线分组,设置连...
商品分类设计(转)
weixin_30505043的博客
10-12 763
产品经理必须是分类控,而商品管理的核心,或者说基础就是“分类”,“分类”方法的变迁是整个商品系统变迁的核心。   你应该在淘宝上买过东西,我们来说说最常见的购物过程:   从某个入口类页面(或广义到产品)开始,经过某种导购过程,到达需要你做交易决策的页面,之后进入交易过程。   入口,最典型的是淘宝首页或某个活动页面,当然,对于一些资深的淘宝买家,他的入口也可能是“我的淘宝”...
某易论坛被植入利用ANI漏洞传播 Backdoor.Win32.Agent.ahj 的代码
Purpleendurer@CSDN
04-19 1965
endurer 原创2007-04-19 第1植入的代码为:/---<iframe src=hxxp://www.y*xg**m7****8.com/y*x.htm width=0 height=0></iframe>---/hxxp://www.y*xg**m7****8.com/y*x.htm 包含代码:/---<iframe src="hxxp://l****l*8**0.com/
大华门禁SDK二次开发(二)-SignalR应用
weixin_30739595的博客
11-22 1143
经过与大华技术支持的沟通,门禁服务程序已经开发好了,可以正常接收门禁开关事件,可以发送开门命令。基于项目实时性要求,这里使用SignalR实现门禁状态、控制命令的实时传送。 几种场景需求 根据SignalR的设计规则,Client端可以主动调用服务端Hub的多个方法,但是客户端被动接收消息的方法只能有一个。 根据门禁功能需求,我们将Client分为两组: doorclient:指Web...
like what? tell me more about the impact of the viking age
最新发布
03-28
Sure! The Viking Age had a significant impact on Europe and beyond. Here are some of the key ways: 1. Exploration and Trade: The Vikings were skilled seafarers who traveled vast distances, discovering new lands and establishing trade routes. They traded in goods such as furs, timber, and fish, and also brought back luxury goods like silk, spices, and precious metals from their travels. 2. Military Conquest: The Vikings were also known for their military prowess and raided many parts of Europe, leaving a trail of destruction in their wake. They conquered and settled in many areas, including England, Scotland, Ireland, and parts of Russia. 3. Language and Culture: The Vikings had a distinct culture and language that influenced the areas they conquered and settled in. Old Norse words and phrases can still be found in many modern European languages, and traditional Viking art and mythology continue to fascinate people today. 4. Technology and Innovation: The Vikings were skilled at shipbuilding and navigation, and they also developed new weapons and tools. The longship, a type of Viking ship, was particularly innovative and allowed them to travel long distances quickly. 5. Social and Political Changes: The Viking Age also brought about significant social and political changes, with new forms of government and social hierarchy emerging in the areas they conquered and settled in. Overall, the Viking Age had a lasting impact on Europe and the world, shaping language, culture, technology, and politics for centuries to come.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值