瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 在Autoruns下手工清除了N遍的灰鸽子,却又死灰复燃?怎么办?
Alf…bbs - 2005-10-25 18:23:00
请教版主和各位兄弟:小弟中了灰鸽子

Norton报告是:backdoor.graybird.R


我已经查阅了网上的几乎所有资料,病毒库也已经升级。


(一)、在安全模式下,小弟我已经如下操作了N遍,均无效:

1、扫描scan硬盘所有分区,删除感染文件

2、手动删除了winnt目录下 的
netsrv.dll
netsrv_hook.dll
netsrv.exe
(我的电脑没有出现过 * key.dll文件)

3、手动删除

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PigeonServer

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_PigeonServer

4、重启动

但是,,,每次重启后,netsrv.dll 却又死灰复燃!

什么原因呀?

(二)、有朋友建议改变操作顺序,3 > 4 > 2 > 1

我也改变过了,操作了2次,依然重启动后继续出现 netsrv.exe!


(三)、我又使用了autoruns.exe /processexplorerNT  以及IceSword两个工具,

搜索出了service以外的又一堆相关注册项,

在C:\winnt\Downloaded Program files\目录中,竟然又发现了五、六个隐藏文件:

(我已经打开显示了所有A、S、H、R属性的系统文件,但依然看不见他们!)

BDhelper.dll
BDhook??.dll
……

我到DOS下全部删除了他们!!满以为搞定了!



TMD,重启动,又出来了!

Norton报告:backdoor.graybird.R

netsrv.exe又出现了!

搜索注册表,Service中又出现了Graypigeon!



我还能怎……怎么办?
BlackStone - 2005-10-25 18:33:00
是不是开着Xp的自动还原呢

http://forum.ikaka.com/topic.asp?board=28&artid=7318038

看看系统还有些其他灰鸽子变种没有
影子110 - 2005-10-25 19:47:00
你可以改变下操作顺序再看看(尽量不要打开一些程序或文件以免再被感染)
3》4》2》1。
或者,如果以上操作还不行时
建议你在操作时使用下面这个小软件,请参阅下帖,
http://forum.ikaka.com/topic.asp?board=28&artid=7168178
请记住,,看清这个链接中的步骤,,
再试试看吧~~~~~
猎鹰渔民 - 2005-10-25 19:50:00
步骤:3、4、2……
Alf…bbs - 2005-10-26 11:14:00
请教版主:小弟中了灰鸽子

Norton报告是:backdoor.graybird.R


我已经查阅了网上的几乎所有资料,病毒库也已经升级。


(一)、在安全模式下,小弟我已经如下操作了N遍,均无效:

1、扫描scan硬盘所有分区,删除感染文件

2、手动删除了winnt目录下 的
netsrv.dll
netsrv_hook.dll
netsrv.exe
(我的电脑没有出现过 * key.dll文件)

3、手动删除

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PigeonServer

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_PigeonServer

4、重启动

但是,,,每次重启后,netsrv.dll 却又死灰复燃!

什么原因呀?

(二)、有朋友建议改变操作顺序,3 > 4 > 2 > 1

我也改变过了,操作了2次,依然重启动后继续出现 netsrv.exe!


(三)、我又使用了autoruns.exe /processexplorerNT  以及IceSword两个工具,

搜索出了service以外的又一堆相关注册项,

在C:\winnt\Downloaded Program files\目录中,竟然又发现了五、六个隐藏文件:

(我已经打开显示了所有A、S、H、R属性的系统文件,但依然看不见他们!)

BDhelper.dll
BDhook??.dll
……

我到DOS下全部删除了他们

我满以为搞定了!

TMD,重启动,又出来了!

Norton报告:backdoor.graybird.R

netsrv.exe又出现了!

搜索注册表,Service中又出现了Graypigeon!



我还能怎……怎么办?
影子110 - 2005-10-26 12:28:00
清空临时文件夹,关闭系统还原,断网后再杀下看看~~~~~
如果还杀不掉,,请把这个文件打包发到下面的邮箱,请baohe帮你看看,还有哪些地方没有清除到~~
需打包的文件
BDhelper.dll
BDhook??.dll
netsrv.exe
baohe的邮箱 baohelin@yahoo.com.cn

还有,再问一句,你是什么时候中鸽子的,,
在那段时间你是否下载了什么东西,安装过什么东西,或是打开哪个网页后,,,
系统补丁是否打了~~~~你的用户密码是否过于简单,,,(或者说根本就没有设)
看下你电脑里的Administrator这个用户是否有密码,(安装电脑时默认是没有的)
BlackStone - 2005-10-26 12:49:00
用procexp看看进程,首先在进程中杀掉,再删除,

注意关闭系统自动还原
1
查看完整版本: 在Autoruns下手工清除了N遍的灰鸽子,却又死灰复燃?怎么办?
© 2000 - 2026 Rising Corp. Ltd.