注意：带两个ROOTKIT的灰鸽子 bbs.ikaka.com

baohe - 2005-9-9 10:11:00

感染系统后创建的文件：

C:\windows\system32\cpoiuyk.dll（Rootkit.Win32.Vanti.c，卡巴斯基报）
C:\windows\system32\mainxo.sys（Rootkit.Win32.Vanti.b，卡巴斯基报）
C:\windows\Windows T1me.exe（Backdoor.Win32.Hupigeon.ed，卡巴斯基报）
cpoiuyk.dll插入iexplore.exe进程运行（见附图）。

注册表改动：

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加

MIANYI

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加

Windows T1me

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\下添加

LEGACY_MIANYI

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\下添加

LEGACY_WINDOWS_T1ME

查杀方法见：http://forum.ikaka.com/topic.asp?board=28&artid=7110935

附件: 155847200599101614.jpg

还是来晚了 - 2005-9-9 10:45:00

为什么不能帮我看看ms-dos.pif怎么清除？我的机子不能用了....只能用冰刃禁止进程创建才能安静会，如果做点别的就会又被攻击，我很郁闷啊！

baohe - 2005-9-9 10:55:00

引用:

【还是来晚了的贴子】为什么不能帮我看看ms-dos.pif怎么清除？我的机子不能用了....只能用冰刃禁止进程创建才能安静会，如果做点别的就会又被攻击，我很郁闷啊！
...........................

请把你那个帖子24楼图中所示的任何一个ms-dos.pif打包,发到:baohelin@yahoo.com.cn

帮你看看怎么回事

还是来晚了 - 2005-9-9 11:04:00

为什么不能帮我看看ms-dos.pif怎么清除？我的机子不能用了....只能用冰刃禁止进程创建才能安静会，如果做点别的就会又被攻击，我很郁闷啊！

从头爱你 - 2005-9-9 14:13:00

...好````

放心了````

独孤豪侠 - 2005-9-9 18:04:00

晕啦,鸽子又变种了.

CAJINCHEN - 2005-9-9 19:41:00

ROOTKIT是新技术,各大AV都要注意.

q3zz - 2005-9-9 20:05:00

明显是个加了个免疫007,HOOK读内存,使瑞星的内存杀毒失效.不过瑞星的技术员实在是勤快,对于007一直没有一个准确的定位,给他们传样本说没问题,把我原来放在看雪的破解版里的DLL文件杀成QQ病毒,真是开眼.

2楼,把.pif的扩展名改成.EXE就明白了.

康熙来了 - 2005-9-9 20:17:00

我的天哪以后不敢上网了

粉红之恋 - 2005-9-10 8:24:00

我倒是没中过

嚣张是我本姓 - 2005-9-12 19:58:00

幸好我没中

岳海旭 - 2005-9-17 22:02:00

收到了

爱上猫的狼 - 2005-9-19 9:26:00

中过一次，诺顿居然没杀出来。我是无意中看到我的机子上的服务居然注册了两个灰鸽子，一直对诺顿都是很放心的，虽然使用过程中，自己一直感觉好象机子有病毒，唉……

Brzzz-左岸 - 2005-9-19 11:10:00

kv2006 bootscan 开机时可以检测此exe和dll不能清除，删除之。
开机后在windows下运行kv可以彻底清除

春笋 - 2005-11-1 19:10:00

倒霉!中了灰鸽子!好难弄啊!哪位大哥帮帮忙!告诉我怎么弄~简单点的,复杂的看不懂

瑞星卡卡安全论坛