小园子 - 2005-9-7 11:00:00
最近我开机都会自动启动IEXPLORE.EXE,原来就觉得不对都手动关掉进程
最近更新了8.29的防火墙后开机时防火墙说那个是内存木马Dropper.Delf.av
今天开机防火墙没反应了,瑞星杀毒的开机扫描又查出我中了Backdoor.GPigeon.kv
说清除成功了可是每次开机还是都有..关掉IEXPLORE.EXE进程查毒又什么也查不出来,进安全模式也查不出~
谁能帮帮我哈~
什么情况 - 2005-9-7 13:27:00
iexplorer如果是在program files/internet explorer/下就是正常的,至于后面的那个,灰鸽子,参考http://forum.ikaka.com/topic.asp?board=28&artid=6202404
唐不狐 - 2005-9-7 13:58:00
不同意楼上的,灰鸽子自1.2版本(可能更早)就能够插入ie进程来穿过防火墙了。所以光凭路径来判断是不全面的。鸽子还有隐身插件,能隐藏其自启动服务。所以鸽子运行后正常情况下你是看不到可疑的。办法:1 查端口,既然插入ie,那就查ie的端口;2 用icesword检查,凡是红色显示的都是可疑(如果安装卡巴的话,在SSDT(驱动)那里有个klif.sys也是红色的,不过那是卡巴的)
查杀的话,偶在本版的一个回帖里有详细说明,不再累述。
提示:鸽子是依赖两个dll文件的,在c:\wiundows\system32下,去除系统隐藏属性,就可以找到。
什么情况 - 2005-9-7 14:17:00
| 引用: |
【唐不狐的贴子】不同意楼上的,灰鸽子自1.2版本(可能更早)就能够插入ie进程来穿过防火墙了。所以光凭路径来判断是不全面的。鸽子还有隐身插件,能隐藏其自启动服务。所以鸽子运行后正常情况下你是看不到可疑的。办法:1 查端口,既然插入ie,那就查ie的端口;2 用icesword检查,凡是红色显示的都是可疑(如果安装卡巴的话,在SSDT(驱动)那里有个klif.sys也是红色的,不过那是卡巴的)
查杀的话,偶在本版的一个回帖里有详细说明,不再累述。
提示:鸽子是依赖两个dll文件的,在c:\wiundows\system32下,去除系统隐藏属性,就可以找到。
........................... |
谢谢楼上的朋友,旧版灰鸽子(具体是什么版本我不太清楚)它的几个dll文件应该是都在c:\windows下,目前新版的灰鸽子是在C:\windows\下创建文件夹Internet Explorer,并且创建一些一眼就能看出来的文件
© 2000 - 2026 Rising Corp. Ltd.