辽宁特大盗墓案:Backdoor.Win32.Hupigon.bz
我杀了好几遍啊...把文件都找出来删了..然后进安全模式也杀下去了.....可是一会他又自己出来了.
杀不下去啊...我查了。.是灰鸽子病毒啊.
帮我啊..怎么办啊.? 给我个能杀掉的软件啊.
好害怕..
都不是啊...这个病毒是这样的
C:\WINDOWS\system32\winupKey.dll
而且我家现在卡的不行了...我问的这个问题都等了将近20多分之才打出来啊..
好卡啊.什么也干不了.
解决了一个,所以连带的加分了!
木马杀客 V5.31 绿色特别版 Build 10.10.26(病毒库08月07)
http://cq-http.yaolai.net/download/2409.rar
木马杀客是原创的反木马工具,软件采用杀毒引擎辨别特征码和传统病毒库辨别。软件可查杀密码偷窃类木马、QQ尾巴类木马、冰河类木马、网游盗号类木马、完全查杀灰鸽子类木马、及各种未知木马、病毒、蠕虫、后门、黑客程序等。木马内置内存监控及注册表监控功能,木马感染内存及修改注册表启动等都将被监控查杀。软件支持在线升级。
其他功能:网络连接状态、启动项目查看及管理、内存监控、软件卸载、注册表备份及修复、右键扫描、灰鸽子专杀。版本不断更新中......
灰鸽子专杀 V0.52 绿色版(木马杀客版 新增鸽子VIP2006的查杀)
灰鸽子专杀简介:本工具为纯绿色工具,软件采用独特的查杀技巧可完全查杀灰鸽子全系列(VIP2005、vip2006、免杀处理)木马,本软件已经过严格测试,备用本工具可以让您免受灰鸽子木马的困饶.更新内容:软件增加在线更新功能,增加对VIP2006系列及免杀处理的鸽子的查杀。
0.5更新说明
增加在线更新、对鸽子VIP2006的查杀
下载地址
http://soft.51ct.cn/new/%BB%D2%B8%EB%D7%D3%D7%A8%C9%B1.exe
不停那么复杂,简单就能解决问题,强烈推荐
最强的杀木马广告免费升级软件ewido4.0 anti-spyware不影响杀毒软件运行
http://www.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172b.exe
汉化补丁http://www.newhua.com/soft/41516.htm
目前,新版灰鸽子开始流行。看了几个网友的杀毒报告和HijackThis1.99.1扫的日志,归纳出以下特点,供朋友们自己动手查杀时参考:
1、木马文件所在位置不定。目前,看到三种情况:
(1)木马文件在%windows%文件夹中。这和“灰鸽子2005”没太大区别。
(2)木马文件在%windows%\Internet Explorer\文件夹中(这个文件夹是灰鸽子创建的)。
(3)木马文件在%system%\drviers\文件夹中。
2、可执行文件.exe的文件名变化不定。目前见到的有:
C:\windows\Internet Explorer\svchost.exe
C:\WINDOWS\system32\drivers\UPS.exe
3、共同的特点:
(1)以前的.DLL文件没了,改成了一个.DAT文件。可执行文件.exe与.DAT文件同在一个位置。.exe和.DAT文件名随机。我拿到的一个样本,感染系统后,在C:\windows\下创建一个名为Internet Explorer的文件夹;生成的木马文件位于C:\windows\Internet Explorer\文件夹内(杀毒前,用资源管理器看不到其中的木马文件)。用IceSword可看到这个文件夹中的两个木马文件svchost.exe和XXXXXX.DAT(XXXXXX为可变的大写英文字母)。
(2)HijackThis1.99.1日志中可以发现异常系统服务项O23。如:O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe。其中,括弧中的virtual就是要删除的注册表项;C:\windows\Internet Explorer\是木马可执行文件所在的文件夹,svchost.exe是木马的可执行文件。
(3)感染系统后,那个.DAT通过iexplore.exe插入系统中当前活动的多个正常程序的进程(见附图中的红色部分)。这正是灰鸽子难杀的根本原因。
4、手工查杀(以我拿到的那个样本为例):
在IceSword的“设置”中勾选“禁止进程创建,结束木马进程(本例是C:\windows\Internet Explorer\svchost.exe)、iexplore.exe(IE浏览器进程)。
用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项(本例是virtual和mchInjDrv,均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支)。
在IceSword的“设置”中取消“禁止进程创建”,重启系统。
将C:\windows\Internet Explorer\整个文件夹删除。