» 遊客:  加入 | 登入 (帳號有問題請連絡TWed2k@gmail.com)


 


 TWed2k » 軟體求助討論區 » [求助]Backdoor.Graybird 這個病毒如何解 RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 

 
主題: [求助] [求助]Backdoor.Graybird 這個病毒如何解   字型大小:||| 
mis617
鐵驢友〔高級〕
等級: 6等級: 6


今日心情

 . 積分: 63
 . 文章: 512
 . 收花: 218 支
 . 送花: 11194 支
 . 比例: 51.35
 . 在線: 585 小時
 . 瀏覽: 15522 頁
 . 註冊: 8212
 . 失蹤: 891
 . 無時不刻覺得自己很忙
#1 : 2005-9-18 07:49 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
掃描類型:  自動防護 掃描
事件:  發現威脅!
威脅:Backdoor.Graybird
檔案:  C:\WINDOWS\TEMP\mc21.tmp
位置:  C:\WINDOWS\TEMP
電腦:  MATTHEW
使用者:  SYSTEM
採取行動:  清除 失敗 : 隔離 失敗 : 刪除 成功 : 拒絕存取
發現日期: 2005年9月18日  上午 07:37:01

系統 XP SP1
掃毒軟體 Symantec AntiVirus 9.0.0.338 病毒定義日期 2005/9/15 rev.23
上 google 找了一些資料
這似乎是一個歷史悠久的病毒
在安全模式下 找了以下字眼 並沒有收穫

C:\WINDOWS\G_Server.exe
C:\WINDOWS\G_Server.dll
C:\WINDOWS\G_ServerKey.dll
C:\WINDOWS\G_Server_Hook.dll

GrayPigeon.exe, GrayPigeon.bat, GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE

我個人是懷疑
http://twed2k.no-ip.org/discuz/v ... d=90371&fpage=3
因為我一個星期都沒重新開機
這期間只有灌這個軟體
不過我沒有證據

拜託哪位大大 幫忙一下 感激不盡


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
iaban
鍛鐵驢友
等級: 7等級: 7等級: 7
努力工作的藍刺蝟~~

 . 積分: 81
 . 文章: 314
 . 收花: 558 支
 . 送花: 182 支
 . 比例: 0.33
 . 在線: 2651 小時
 . 瀏覽: 5430 頁
 . 註冊: 7452
 . 失蹤: 149
 . TW
#2 : 2005-9-20 09:16 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
我是覺得應該還沒中....
它只是先把自己弄到暫存資料夾去,然後等著伺機發動
可是就被你的防毒程式給 : 刪除 成功 : 拒絕存取
其實這類backdoor病毒應該會在你的run登錄檔裡面寫入它需要啟動時加載的程式...
先去 [開始]->[執行]-> msconfig  然後去看最後一頁啟動裡面有沒有莫名的程式,或是怪怪的路徑..


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
mis617
鐵驢友〔高級〕
等級: 6等級: 6


今日心情

 . 積分: 63
 . 文章: 512
 . 收花: 218 支
 . 送花: 11194 支
 . 比例: 51.35
 . 在線: 585 小時
 . 瀏覽: 15522 頁
 . 註冊: 8212
 . 失蹤: 891
 . 無時不刻覺得自己很忙
#3 : 2005-9-21 09:24 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
感謝 iaban 大大的協助
問題已經解決
但是我 還想問一下 這兩個檔案在哪裡
就是都是亂碼的那兩個程式
要如何才能將他殺掉


謝謝

[mis617 在 2005-9-21 09:26 PM 作了最後編輯]


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
iaban
鍛鐵驢友
等級: 7等級: 7等級: 7
努力工作的藍刺蝟~~

 . 積分: 81
 . 文章: 314
 . 收花: 558 支
 . 送花: 182 支
 . 比例: 0.33
 . 在線: 2651 小時
 . 瀏覽: 5430 頁
 . 註冊: 7452
 . 失蹤: 149
 . TW
#4 : 2005-9-21 10:22 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
老實說看那張圖我也不知道它在哪 @@"
不過我知道你把 {命令} 那欄拉寬一點應該有機會看到它在哪...
或是直接去執行regedit 然後找到它的KEY位置,再copy檔名以後用搜尋去找!!


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
mis617
鐵驢友〔高級〕
等級: 6等級: 6


今日心情

 . 積分: 63
 . 文章: 512
 . 收花: 218 支
 . 送花: 11194 支
 . 比例: 51.35
 . 在線: 585 小時
 . 瀏覽: 15522 頁
 . 註冊: 8212
 . 失蹤: 891
 . 無時不刻覺得自己很忙
#5 : 2005-9-22 01:21 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆

引用:
iaban寫到:
老實說看那張圖我也不知道它在哪 @@"
不過我知道你把 {命令} 那欄拉寬一點應該有機會看到它在哪...
或是直接去執行regedit 然後找到它的KEY位置,再copy檔名以後用搜尋去找!!


跟您報告一下
這張圖會這樣COPY 是有原因的
因為 命令看到的字串
與啟動項目 一模一樣
都是火星文
感謝大大您
再幫忙出主意


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Allen.R
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
不定期失蹤ing

 . 積分: 599
 . 精華: 2
 . 文章: 3364
 . 收花: 2631 支
 . 送花: 10061 支
 . 比例: 3.82
 . 在線: 1161 小時
 . 瀏覽: 43549 頁
 . 註冊: 7443
 . 失蹤: 588
#6 : 2005-9-25 04:00 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
我之前有中過,後來用這個移掉了

http://twed2k.no-ip.org/discuz/v ... d=92368&fpage=3


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-27 10:44 PM		 清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.021434 second(s), 6 queries , Qzip disabled