【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6 7 8 »

1 / 70 页

跳转页

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-17 20:33 \| 只看楼主短消息资料字号：小中大 1楼【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版) 关键词：瑞星灰鸽子 GPigeon endurer　原创＊2005.11.24　第3版补充：卡巴斯基关于三个灰鸽子文件的反应：　　system.exe　报为　Backdoor.Win32.Hupigon.nz 　　system.dll、system_dll.dll　报为　Backdoor.Win32.Hupigon.lq 2005.11.19　第2版补充瑞星关于可疑服务Cryptographic Servicesini的文件C:\WINDOWS\system.exe的回复。 2005.11.16　第1版今晚到一位朋友家玩，用他的电脑上网。打开QQ前，我习惯性的先用杀毒软件扫描内存和Windows系统文件夹（这是个好习惯^_^）。这台电脑使用Windows XP SP1，装有瑞星，用的是我送的瑞星年卡。结果内存发现灰鸽子和其他一些病毒！如下图所示（为了获取病毒样本，我把瑞星的设置里的”发现病毒时“设为”忽略“）。附件: 文件名:16036520051117203305.jpg 下载次数:1 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-17 20:33:05 描述: 2007-04-07 21:43:19.497000000
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	分享到：

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-17 20:36 \| 只看楼主短消息资料字号：小中大 2楼 -------------------------------------------------------------------------------- 2005-11-16 21:9:40　瑞星杀毒助手 Windows XP (5.1.2600 Service Pack 1) 文件名病毒名 csrss.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs winlogon.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs services.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs lsass.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs spoolsv.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs alg.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs IEXPLORE.EXE>>C:\WINDOWS\system.DLL Backdoor.GPigeon IEXPLORE.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs CCENTER.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs igfxtray.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs hkcmd.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs SOUNDMAN.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs realsched.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs RAVTIMER.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs ctfmon.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs SwitchNet.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs GreenBrowser.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs WinRAR.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs notepad.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs Rav.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs C:\WINDOWS\system32\d11host.exe Trojan.DL.98link C:\WINDOWS\system32\GLIEDown.dll.bak Backdoor.Agent.aen C:\WINDOWS\system.DLL Backdoor.GPigeon C:\WINDOWS\system_HOOk.DLL Backdoor.GPigeon.xb -------------------------------------------------------------------------------- 这位朋友听别人说瑞星实时监控占用系统资源多，所以安装瑞星时没有安装实时监控模块。再检查瑞星的详细设置里的“定制任务”里的“开机扫描”项，“系统启动时扫描引导区”和“系统启动时扫描系统内存”都没有选定。朋友说是觉得瑞星启动速度慢，所以没有使用这一项。(暴汗!) 在使用windows 2000/XP的电脑中，灰鸽子一般会有一个系统服务启动项。使用HijackThis扫描（您可以到http://endurer.ys168.com的tools\系统分析和修复里下载HijackThis ），发现了一个可疑的系统服务项（瑞星居然没报？）： -------------------------------------------------------------------------------- O23 - Service: Cryptographic Servicesini - Unknown owner - C:\WINDOWS\system.exe -------------------------------------------------------------------------------- ＊2005.11.19　第2版补充：瑞星关于可疑服务Cryptographic Servicesini的文件C:\WINDOS\SYSTEM.EXE的回复：发件人： send@rising.net.cn 发送时间：2005-11-19 11:49:35 尊敬的客户，您好！您的邮件已经收到，感谢您对瑞星的支持。我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果： 1.文件名：system.exe :)病毒名：Backdoor.Gpigeon.tkf 我们将在较新的17.54.0版本中处理解决，请您届时将您的瑞星软件升级到17.54.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。把这项服务停止并禁用（在本例中，这一步不是必须的，但推荐做这一步）。具体操作可参考：【系统修复系列之】如何停止系统服务http://endurer.bokee.com/2578501.html(http://endurer.bokee.com/2578501.html) 开始找病毒样本。先设置系统显示所有文件和文件夹，不隐藏已知文件的扩展名。具体操作可参考：【系统修复系列之】如何显示所有的文件和文件夹http://endurer.bokee.com/2590659.html(http://endurer.bokee.com/2590659.html) 附件: 文件名:16036520051117203605.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-17 20:36:05 描述:
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-17 20:38 \| 只看楼主短消息资料字号：小中大 3楼把病毒样本打包备份不过 -------------------------------------------------------------------------------- Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot -------------------------------------------------------------------------------- 中报的病毒文件就是Windows的壳----C:\WINDOWS\Explorer.EXE，怎么会是病毒，奇怪。瑞星病毒档案中Worm.Mail.Fanbot的信息： http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=112927 病毒分类 WINDOWS下的PE病毒病毒名称 Worm.Mail.Fanbot 　别名　病毒长度依赖系统传播途径　行为类型 WINDOWS下的木马程序感染　病毒发作瑞星版本号　 17.49 手工删除病毒。除了C:\WINDOWS\system_HOOk.DLL以外，都可以直接删除。要删除C:\WINDOWS\system_HOOk.DLL，我们可以尝试KillBox等工具，不过我用的是“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。（它们都可以到http://endurer.ys168.com 下载）。清空IE临时文件夹。具体操作可参考：【系统修复系列之】如何清空IE临时文件夹http://endurer.bokee.com/2722966.html(http://endurer.bokee.com/2722966.html) 关闭系统还原功能。具体操作可参考：【系统修复系列之】如何禁用或启用 Windows XP 系统还原http://endurer.bokee.com/2575822.html(http://endurer.bokee.com/2575822.html) 重新启动计算机，再用瑞星扫描系统，没有再发现病毒。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-17 20:43 \| 只看楼主短消息资料字号：小中大 4楼 BTW：瑞星今天发布了“灰鸽子”病毒专杀工具,大家不妨试试. http://it.rising.com.cn/service/technology/Ravgpk_Download.htm 当前位置：瑞星专用杀毒工具下载 >> “灰鸽子”病毒专杀工具 “灰鸽子”病毒专杀工具工具名称：ravgpk.exe 版本号：1.0 软件大小：600 KB 应用平台：Windows平台发布时间：2005-11-17 发布公司：北京瑞星科技股份有限公司软件说明　　2005年11月17日正式发布 “灰鸽子”病毒专用提取清除工具1.0版。　　针对灰鸽子系列病毒进行提取和清除的工具，能够帮助用户查找灰鸽子病毒的文件，并进行清除。同时能够提取目前无法清除的灰鸽子病毒样本文件，用户可以把不能清除的样本发送给我们进行处理。　　重点提示：病毒清除过程完成后若出现提示“您的计算机系统中已经感染了“灰鸽子”病毒，为了安全、彻底地清除此病毒，建议您重新启动计算机后再用此专杀工具查杀一次！”，请您根据此提示稍后重新启动计算机再次查杀病毒，并请点击提示框中的“确定”按钮。病毒简介后门病毒“灰鸽子” 　　delphi编写　　主要特点： 1、可以穿越防火墙远程控制用户机器。2、使用madCodeHook开发包接管若干API,隐藏病毒文件，给用户杀毒造成障碍。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-11-18 14:07 \| 短消息资料字号：小中大 5楼谢谢~~ 学习~~~
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-11-18 14:14 \| 短消息资料字号：小中大 6楼 Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs” 这两个都是Explorer.EXE，为什么所指向的却是不同的文件（你上面提到的壳~~壳是什么意思啊~~ ，，呵呵~）还有~这两个Explorer.EXE是同一个文件吗？
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2005-11-18 14:53 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【影子110的贴子】
Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot
Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
这两个都是Explorer.EXE，为什么所指向的却是不同的文件

Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot

这个有点怪，不过由于病毒在内存中，已经被瑞星清除了。是否是因为Explorer.EXE进程被system_HOOk.DLL注入而引起这种情况，还需要大家进一步观察。
用google搜索了一下，从搜索到的信息来看，这个病毒好像是与灰鸽子结伴同行的。

-------------------------------------------------------------
病毒分类 WINDOWS下的PE病毒病毒名称 Worm.Mail.Fanbot 　
别名　病毒长度
依赖系统传播途径　
行为类型 WINDOWS下的木马程序感染　
病毒发作瑞星版本号　 17.49
-------------------------------------------------------------

Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs

这个explorer进程被system_HOOk.DLL注入了。
system_HOOk.DLL会注入系统中的所有进程。

引用:

【影子110的贴子】
你上面提到的壳~~壳是什么意思啊~~

我这里说的壳是指操作系统用来提供给用户进行操作的东东。在ms dos里是command.com（解释用户输入的命令），在windows里则是explorer.exe（提供桌面，任务栏等），在unix里则有ash,bash,ksh,tcsh,zsh等。

引用:

【影子110的贴子】
还有~这两个Explorer.EXE是同一个文件吗？

应该是同一个。在HijackThis的log中，只有一个名为Explorer.EXE的进程，即C:\WINDOWS\Explorer.EXE进程。

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-11-18 15:39 \| 短消息资料字号：小中大 8楼谢谢~~ 那这个C:\WINDOWS\Explorer.EXE可以安全删除吗？（是杀毒，还是删除）如果，因为瑞星的版本不够（无法升级时），只能在线查，查出这个毒时，结束这个进程是否就可以了，，（~~把这个鸽子手工删除后（就是删除它的服务项，删除它的文件，再结束这个进程是否可以~~）好像有时瑞星杀毒时常会显示已经把一些文件给隔离起来了，这些被隔离的病毒文件还需要再删除吗？另，Worm.Mail.Fanbot（看这个病毒名，应该是属于蠕虫的一种吧~）呵呵~~又提了那么多问题~~~ 先谢谢了~~~（老版主可不要嫌烦啊~~）
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

jijip 初生襁褓狮帖子:972 注册: 2005-06-16 来自:	发表于： 2005-11-18 16:59 \| 短消息资料字号：小中大 9楼顶,学习了,好教材
jijip 初生襁褓狮帖子:972 注册: 2005-06-16 来自:

ヘ网络农民ヘ叱咤花甲狮帖子:2980 注册: 2004-09-12 来自:	发表于： 2005-11-18 17:06 \| 短消息资料字号：小中大 10楼好东西。.. 收了。. .
ヘ网络农民ヘ叱咤花甲狮帖子:2980 注册: 2004-09-12 来自:

<<上一主题|下一主题>>

12 3 4 5 6 7 8 »

1 / 70 页

跳转页

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2005-11-17 20:33 \| 只看楼主短消息资料字号：小中大 1楼【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版) 关键词：瑞星灰鸽子 GPigeon endurer　原创＊2005.11.24　第3版补充：卡巴斯基关于三个灰鸽子文件的反应：　　system.exe　报为　Backdoor.Win32.Hupigon.nz 　　system.dll、system_dll.dll　报为　Backdoor.Win32.Hupigon.lq 2005.11.19　第2版补充瑞星关于可疑服务Cryptographic Servicesini的文件C:\WINDOWS\system.exe的回复。 2005.11.16　第1版今晚到一位朋友家玩，用他的电脑上网。打开QQ前，我习惯性的先用杀毒软件扫描内存和Windows系统文件夹（这是个好习惯^_^）。这台电脑使用Windows XP SP1，装有瑞星，用的是我送的瑞星年卡。结果内存发现灰鸽子和其他一些病毒！如下图所示（为了获取病毒样本，我把瑞星的设置里的”发现病毒时“设为”忽略“）。附件: 文件名:16036520051117203305.jpg 下载次数:1 文件类型:image/pjpeg 文件大小: 上传时间:2005-11-17 20:33:05 描述: 2007-04-07 21:43:19.497000000
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

附件:

文件名:16036520051117203305.jpg 下载次数:1 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(69406); 上传时间:2005-11-17 20:33:05 描述:

附件:

文件名:16036520051117203605.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(0); 上传时间:2005-11-17 20:36:05 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

文件名:16036520051117203305.jpg

下载次数:1

文件类型:image/pjpeg

文件大小:

上传时间:2005-11-17 20:33:05

描述:

文件名:16036520051117203605.jpg

下载次数:0

文件类型:image/pjpeg

文件大小:

上传时间:2005-11-17 20:36:05

描述: