123   1  /  3  页   跳转

版主必看!!!

收藏
2120058
头像
自信弱冠狮
  • 帖子:433
  • 注册: 2005-08-21
  • 来自:
发表于: 2006-05-05 15:28 | 只看楼主 短消息 资料
字号: 1楼

版主必看!!!

我现在正遭受灰鸽子袭击  它在我的电脑C:\WINDOWS\system32\conime.exe



这是我用Windows测出的,黑客利用远程协助不强鼠标并且不在我的桌面控制,把我的QQ
内所有QB刷没了!C:\WINDOWS\system32\conime.exe这个文件先用进程控制把它
结束,但是!一重启该文件立即还原.这是最令我头痛的!!
谁能帮帮我!!!

在这里  我向版主透露消息!



灰鸽子





他的网站就是!!!:  http://www.huigezi.net/ 
希望能照有关部门查封!!
最后编辑2006-05-05 17:35:45
分享到:
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-05 15:35 | 短消息 资料
字号: 2楼

C:\WINDOWS\system32\conime.exe
这是系统进程,跟灰鸽子无必然关联!
几个图全看不见。
gototop
 
ceshi123
头像
快乐黄口狮
  • 帖子:221
  • 注册: 2006-05-04
  • 来自:
发表于: 2006-05-05 15:36 | 短消息 资料
字号: 3楼



http://218.6.144.251/zs.exe  灰鸽子专杀
gototop
 
2120058
头像
自信弱冠狮
  • 帖子:433
  • 注册: 2005-08-21
  • 来自:
发表于: 2006-05-05 15:40 | 只看楼主 短消息 资料
字号: 4楼

你错了
我用系统进程查询发现那个文件已经变成灰鸽子
远程控制端口
只有将那个进程结束才能断绝连接!
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-05 15:41 | 短消息 资料
字号: 5楼

不是那个文件变成灰鸽子,而是灰鸽子插入那个文件的进程,这是两码事!
gototop
 
2120058
头像
自信弱冠狮
  • 帖子:433
  • 注册: 2005-08-21
  • 来自:
发表于: 2006-05-05 15:46 | 只看楼主 短消息 资料
字号: 6楼

怎么删掉啊
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-05 15:51 | 短消息 资料
字号: 7楼

灰鸽子的运作,是通过其dll文件插入系统运行的进程,即成为其加载的模块,而不是直接用其exe可执行文件来运行。

楼主不要把事情越说越复杂行不行?

http://forum.ikaka.com/topic.asp?board=28&artid=6979213第5楼下载System Repair Engineer 2.0.12.350导出全部日志,看看灰鸽子是否插入了那个进程以及如何解决。
gototop
 
2120058
头像
自信弱冠狮
  • 帖子:433
  • 注册: 2005-08-21
  • 来自:
发表于: 2006-05-05 16:10 | 只看楼主 短消息 资料
字号: 8楼

他提示AppInit_DDLs 是非正常值
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-05 16:23 | 短消息 资料
字号: 9楼

这个等会儿再说,导出日志就能看出来了。
点“智能扫描”,那几项都要选上,扫描完后保存日志,之后把日志文本内容全部复制粘贴上来。字数较多,一帖发不完就分段发,注意不要发漏了。
gototop
 
2120058
头像
自信弱冠狮
  • 帖子:433
  • 注册: 2005-08-21
  • 来自:
发表于: 2006-05-05 16:34 | 只看楼主 短消息 资料
字号: 10楼

2006-05-05,16:32:23

System Repair Engineer 2.0.12.350 (2.0 RC 1)
    Windows XP Professional Service Pack 2 - 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><C:\windows\system32\ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <pyjj><C:\Program Files\jj4\jjsvr4.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <pbmini><C:\Documents and Settings\tmwl\My Documents\网络电视\PodcastbarMini\PodcastBarMiniStater.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <run><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <RavTask><; "C:\Program Files\Rising\Rav\RavTask.exe" -system>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <SonudMan><C:\windows\system32\WNILOGON.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NMGameX_AutoRun><C:\windows\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <helper.dll><C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <HotKeysCmds><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <IgfxTray><; >
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <nwiz><nwiz.exe /install>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <SysExplr><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <Thunder><"C:\Program Files\Thunder Network\Thunder\ThunderShell.exe" /s>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><C:\WINDOWS\system32\userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><KB6087692.LOG>

==================================
启动文件夹
服务
[InstallDriver Table Manager / IDriverT]
  <"C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe"><Macrovision Corporation>
[NVIDIA Display Driver Service / NVSvc]
  <C:\windows\system32\nvsvc32.exe><NVIDIA Corporation>
[Remote Access Auto Connection / Remote Access Auto Connection]
  <C:\windows\winnt.exe><N/A>
[Rising Process Communication Center / RsCCenter]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>

==================================
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT