TWed2k - 軟體求助討論區 - [求助]有沒有了解木馬(灰鴿子)

主題: [求助] [求助]有沒有了解木馬(灰鴿子) [打印本頁]

發表人: mmcatdog 時間: 2006-12-12 11:36 PM 主題: [求助]有沒有了解木馬(灰鴿子)

今日早上電腦不斷停頓且電腦 IEXPLORER.EXE PORT 8000 不斷連結219.237.226.197
(上海電信)並且不段傳送其他木馬程式進入
但昨日使用電腦時並沒有上述問題請問一下灰鴿子這木馬的攻擊方式為何
木馬主檔為 PBTD 位於系統下\SYSTEM32\DRIVERS內與網路上所說的完全不同
該木馬更於 SYSTEM32\TEST.EXE 與 SYSTEM32\WINS\SVCHOST.EXE 載入上述檔案
以SYMANTEC SCS 10.1.0.394 與 ad-aware + spybot +Webroot_Spy_Sweeper_5.0.7.1608 +
Anatoli Klassen Software 都無法正確掃出此病毒請問這是第幾版灰鴿子

發表人: 691004 時間: 2006-12-13 06:36 AM

~直覺~~這是最新版的木馬!!小弟好像也中過這個~會附加在svchost.EXE
我的解決方法是直接還原~~或是重新安裝!!

發表人: eddiehan 時間: 2006-12-13 10:16 AM

建議參考防程軟體找到的病毒名稱
接著上google去找外國相關案例及解法。
也許找到的病毒字尾可能不盡相同!
但是可以藉由防毒軟體所找到的相關執行檔或是動態連結檔來進行判斷病毒所在
再進安全模式自已手動完整刪除!
記得在進了安全模式後順便進Regedit
搜尋跟病毒相關的開機啟動碼，並且加以刪除!
作以上的事情前最好先行備份。
例如：你要刪去某執行檔前先改其檔名。svhost.exe ---> svhost.virus
重開機看看是不是就不會發作了。如果沒發作了就是了刪個爽XD
例如：Regedit 進入後先備份整個機碼表!再進行搜尋跟刪除的動作。
免得刪錯了連開機都開不了= ="

發表人: mmcatdog 時間: 2006-12-13 09:52 PM

第一點我不喜歡重灌而且毒已解
第二點這病毒不是你進安全模式就可以刪除
第三點他是利用健康的iexplorer.exe 進行攻擊但不知道他的攻擊方式只知道他是透過port 8000 進行連結
第四點網路上有許多關於灰鴿子的解毒程式但我大約下載了約20幾種
當中挑選了其中5種進行解毒但唯一掃出的工具卻沒有相關介紹網頁
因此才想問問看

發表人: ags 時間: 2006-12-13 10:58 PM

微軟今天又出了新的ie修正程式，去下載看看吧~
(大陸的駭客更新方法越來越快了....

)
不然就把iexplorer.exe砍掉最快。改用firefox2.0吧~

發表人: mmcatdog 時間: 2007-1-9 01:08 AM

新型鴿子已經於12/18日後各防毒系統已經有解

歡迎光臨 TWed2k (http://twed2k.org/)