瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 在Autoruns下手工清除了N遍的灰鸽子,却又死灰复燃?怎么办?

1   1  /  1  页   跳转

在Autoruns下手工清除了N遍的灰鸽子,却又死灰复燃?怎么办?

收藏
Alf…bbs
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2005-10-25
  • 来自:
发表于: 2005-10-25 18:23 | 只看楼主 短消息 资料
字号: 1楼

在Autoruns下手工清除了N遍的灰鸽子,却又死灰复燃?怎么办?

请教版主和各位兄弟:小弟中了灰鸽子

Norton报告是:backdoor.graybird.R


我已经查阅了网上的几乎所有资料,病毒库也已经升级。


(一)、在安全模式下,小弟我已经如下操作了N遍,均无效:

1、扫描scan硬盘所有分区,删除感染文件

2、手动删除了winnt目录下 的
netsrv.dll
netsrv_hook.dll
netsrv.exe
(我的电脑没有出现过 * key.dll文件)

3、手动删除

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PigeonServer

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_PigeonServer

4、重启动

但是,,,每次重启后,netsrv.dll 却又死灰复燃!

什么原因呀?

(二)、有朋友建议改变操作顺序,3 > 4 > 2 > 1

我也改变过了,操作了2次,依然重启动后继续出现 netsrv.exe!


(三)、我又使用了autoruns.exe /processexplorerNT  以及IceSword两个工具,

搜索出了service以外的又一堆相关注册项,

在C:\winnt\Downloaded Program files\目录中,竟然又发现了五、六个隐藏文件:

(我已经打开显示了所有A、S、H、R属性的系统文件,但依然看不见他们!)

BDhelper.dll
BDhook??.dll
……

我到DOS下全部删除了他们!!满以为搞定了!



TMD,重启动,又出来了!

Norton报告:backdoor.graybird.R

netsrv.exe又出现了!

搜索注册表,Service中又出现了Graypigeon!



我还能怎……怎么办?
最后编辑2005-10-26 12:49:11
分享到:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 18:33 | 短消息 资料
字号: 2楼

是不是开着Xp的自动还原呢

http://forum.ikaka.com/topic.asp?board=28&artid=7318038

看看系统还有些其他灰鸽子变种没有
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2005-10-25 19:47 | 短消息 资料
字号: 3楼

你可以改变下操作顺序再看看(尽量不要打开一些程序或文件以免再被感染)
3》4》2》1。
或者,如果以上操作还不行时
建议你在操作时使用下面这个小软件,请参阅下帖,
http://forum.ikaka.com/topic.asp?board=28&artid=7168178
请记住,,看清这个链接中的步骤,,
再试试看吧~~~~~
gototop
 
猎鹰渔民
头像
初生襁褓狮
  • 帖子:816
  • 注册: 2005-06-12
  • 来自:
发表于: 2005-10-25 19:50 | 短消息 资料
字号: 4楼

步骤:3、4、2……
gototop
 
Alf…bbs
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2005-10-25
  • 来自:
发表于: 2005-10-26 11:14 | 只看楼主 短消息 资料
字号: 5楼

请教版主:小弟中了灰鸽子

Norton报告是:backdoor.graybird.R


我已经查阅了网上的几乎所有资料,病毒库也已经升级。


(一)、在安全模式下,小弟我已经如下操作了N遍,均无效:

1、扫描scan硬盘所有分区,删除感染文件

2、手动删除了winnt目录下 的
netsrv.dll
netsrv_hook.dll
netsrv.exe
(我的电脑没有出现过 * key.dll文件)

3、手动删除

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PigeonServer

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_PigeonServer

4、重启动

但是,,,每次重启后,netsrv.dll 却又死灰复燃!

什么原因呀?

(二)、有朋友建议改变操作顺序,3 > 4 > 2 > 1

我也改变过了,操作了2次,依然重启动后继续出现 netsrv.exe!


(三)、我又使用了autoruns.exe /processexplorerNT  以及IceSword两个工具,

搜索出了service以外的又一堆相关注册项,

在C:\winnt\Downloaded Program files\目录中,竟然又发现了五、六个隐藏文件:

(我已经打开显示了所有A、S、H、R属性的系统文件,但依然看不见他们!)

BDhelper.dll
BDhook??.dll
……

我到DOS下全部删除了他们

我满以为搞定了!

TMD,重启动,又出来了!

Norton报告:backdoor.graybird.R

netsrv.exe又出现了!

搜索注册表,Service中又出现了Graypigeon!



我还能怎……怎么办?
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2005-10-26 12:28 | 短消息 资料
字号: 6楼

清空临时文件夹,关闭系统还原,断网后再杀下看看~~~~~
如果还杀不掉,,请把这个文件打包发到下面的邮箱,请baohe帮你看看,还有哪些地方没有清除到~~
需打包的文件
BDhelper.dll
BDhook??.dll
netsrv.exe
baohe的邮箱 baohelin@yahoo.com.cn

还有,再问一句,你是什么时候中鸽子的,,
在那段时间你是否下载了什么东西,安装过什么东西,或是打开哪个网页后,,,
系统补丁是否打了~~~~你的用户密码是否过于简单,,,(或者说根本就没有设)
看下你电脑里的Administrator这个用户是否有密码,(安装电脑时默认是没有的)
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-26 12:49 | 短消息 资料
字号: 7楼

用procexp看看进程,首先在进程中杀掉,再删除,

注意关闭系统自动还原
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT