这只鸽子感染系统后，仅在%windows%目录下释放一个notepad.exe.tmp文件。

1、在Icesword进程列表中可见鸽子的进程（图1）。但在WINDOWS模式下，HijackThis1.99.1日志中无任何异常。
2、这只鸽子在注册表HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES分支添加系统服务项（见图2）。
3、notepad.exe.tmp运行后插入explorer.exe（资源管理器进程）和iexplore.exe进程。但进程列表中无iexplore.exe出现（旧版的鸽子感染系统，即使不打开IE，仍可见iexplore.exe进程。）
4、自动连接网络。

5、卡巴斯基今天的病毒库以及“灰鸽子全版清除器”都查不到这只鸽子。
————————————————
查杀：
1、结束notepad.exe.tmp进程
2、删除%windows%目录下的notepad.exe.tmp
3、删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES分支中鸽子添加系统服务项
4、重启系统



图1

图2

引用:

【endurer的贴子】HijackThis的LOG的O23项没有列出此灰鸽子的系统服务启动项？ ...........................

这是我用样本感染系统后的HijackThis1.99.1的日志：

Logfile of HijackThis v1.99.1
Scan saved at 19:58:02, on 2005-12-1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\PFShared\UmxCfg.exe
C:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe
C:\Program Files\Common Files\PFShared\UmxPol.exe
C:\Program Files\Tiny Firewall Pro\UmxAgent.exe
C:\Program Files\Tiny Firewall Pro\UmxTray.exe
C:\Program Files\System Safety Monitor\SSMService.exe
C:\Program Files\Common Files\PFShared\umxlu.exe
C:\Program Files\System Safety Monitor\sysSafe.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tiny Firewall Pro\amon.exe
C:\Program Files\Opera76\opera.exe
C:\Program Files\HijackThis.exe

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AMonitor] C:\Program Files\Tiny Firewall Pro\amon.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122803781773
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O23 - Service: System Safety Monitor (SSM) - System Safety - C:\Program Files\System Safety Monitor\SSMService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Program Files\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. - C:\Program Files\Common Files\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Tiny Software, Inc. - C:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe
O23 - Service: FW Live Update (UmxLU) - Tiny Software, Inc. - C:\Program Files\Common Files\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Program Files\Common Files\PFShared\UmxPol.exe

引用:

【建能的贴子】在你的任务管理器有这个NOTEPAD.exe进程吗？ ...........................

看任务管理器意义不大。HijackThis1.99.1扫完日志后，自动调notepad.exe显示扫描结果。所以WINDOWS任务管理器中应该有notepad.exe进程。只有进程，没有路径，无法判断notepad.exe进程是否异常。倒是icesword的进程列表管用（见图1）

引用:

【建能的贴子】NOTEPAD.exe是记事本进程，这个灰鸽子插入了这个进程，那应该好发现。 ...........................

注意看图1。
不是鸽子插入NOTEPAD.exe；而是鸽子模仿NOTEPAD.exe。

引用:

【七彩黄花菜萱草的贴子】斑竹,SREng的日志能看得出异常吗?我觉得SREng的日志更详尽些,请赐教.谢谢 ...........................

现在家里，系统中没有SREng。明天在单位的机子上观察一下。

引用:

【taylor05771的贴子】好像在黑客内部 用了3个月 不知谁公布的 据我所知 应该还有一只的.... hijackthis也不是万能的 ...........................

没有万能的安全软件。安全软件的选择：
1、用户根据自己的实际情况，对其总体防护效果的评价。
2、用户的个人爱好。

引用:

【taylor05771的贴子】听说还有躲SSM的 鸽子 呵呵 可惜没搞到样本 ...........................

不知道有没有能躲过TPF2005的Track'nReverse的鸽子。
如果你有，请务必给我一个。我想看看。

【回复“风情”的帖子】
你那个是正常的记事本文件。
这里讨论的木马是NOTEPAD.exe.tmp。注意木马文件名后缀是.exe.tmp。

【回复“飓风小子”的帖子】
工具软件，不妨多备几种。
这个不管用，还可以试试另外一个。
这个例子：HIjackThis不行；IceSword就能发现问题的线索。等哪天在碰上个IceSword也发现不了的——在试试SSM....