backdoor.win32.Delf.aws
请安装微点主动防御软件
--------------------------------------------------------
backdoor.win32.Delf.aws
谁知道这个怎么杀啊
喀吧发现了
但是删除不了.
backdoor.win32. 顾名思义即“灰鸽子后门木马”,制作者把此木马的终端文件制作成一个大小仅为270-280k的自释放安装的压缩包,而恶意散布者则通常将其夹在某些文件、电影或程序的压缩包内以达到掩盖的目的,这样的“大压缩包”通常形式也是一个【自释放压缩包】,但它与一般的自释放压缩包不同在于——散步者在压缩包的〖注释〗里加入了这样几行命令参数:
;下面的注释包含自解压脚本命令
Setup=XXX.exe
Silent=1
Overwrite=1
(XXX表示“灰鸽子”木马真实文件的伪装名称,通常会是诸如“某某软件名”、“色情网站密码”等等诱惑性名称,大家务必自省自制!!!)
注意:就是这样几行脚本命令,使得你在警惕性不高的情况下、随意自解压【大压缩包】的同时,真正的“灰鸽子”木马注入文件即“XXX.exe”将在电脑后台以完全静默方式完成“注入”!!!——之所以你察觉不到它注入的过程,就是“Silent=1”这条命令产生的效果。于是,“灰鸽子”木马便这样悄然地进驻你的电脑 里。
从这个注入过程的分析,大家可以看出,防止“Backdoor.GPigeon.uac”即“灰鸽子”木马进驻电脑的最主动措施是大家自己平日里使用电脑时多访问正当、有益的网站或网页,即便为了获取软件注册工具(当然我还是希望大家尊重知识产权,积极付费使用正当软件)也要到诸如“华军”、“太平洋”等大站去,不要轻易相信网络上由不明身份的小网页、黑网页提供的所谓“软件注册机”,更不要相信所谓的“成人资讯网站免费会员帐号/破解密码”之类的网络垃圾信息。
一旦Backdoor.GPigeon.uac被注入你的电脑,一般情况下最近的各种杀毒软件是能够截杀它,但是不能完全、彻底地清除木马的“毒根”,究其原是因为“灰鸽子”的的*.exe文件不能被各杀毒软件查到——“灰鸽子”不属于定时发作型木马,只在每次电脑启动到系统正常这一段很短的时间内发作,主文件被注册成一个服务,每次正常启动将释放*.dll和*_hook.dll病毒体,把他们注入像explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程,因此各种杀毒软件可以查出并及时截杀,但总不能找到“毒根”。有的朋友常会误认为安全模式下可以用杀毒软件杀掉它,但事实上是安全模式下不启动服务,因此所有的*.exe没有被激活,当然病毒体也不例外,那么它注入病毒体的过程也不发作,而多数杀毒软件引擎以病毒运行特征为监视手段,没了“注入”这一特征性动作,杀毒软件又从何发现病毒呢?所以安全模式下多数杀毒软件也不能捉到病毒。
但这并不意味着无法根本、彻底地清除“毒根”,在此以我个人的一次清除过程为例给大家推荐一种方式,彻底地清除“灰鸽子”:
1)启动电脑前先完全断开网络,并安装一套最新的“木马克星”(我安装的是V5.50版本)
2)正常启动电脑,正常后运行“木马克星”,程序将会在系统内找到Backdoor.GPigeon.uac木马的可疑文件,我这次发现的是在c:\windows文件夹下的“win32.exe”文件,木马克星会提醒你是否删除此文件,结果是不能被删除,为什么呢?我就在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项,按“确定”按钮。电脑内的所有文件就能完全显示,我再访问c:\windows文件夹,果然在其中找到“win32.exe”文件——文件图标是一个很普通、很不起眼的图标,它被设置成“指读”、“系统”、“存档”文件而起掩饰作用。我尝试直接将其删除,结果仍是无法删除,提示是“系统正在使用,文件处于保护状态”。
3)重启电脑,并按F8进入安全模式,再进入该文件,这时大家将能看到“win32.exe”文件的真实面目——它正是那个大小为260-280k的文件的复本,仍是一个自释放型压缩包,也就是它,每次电脑启动时它均会将内含的病毒注入explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程。最后,当然是删除此文件!
4)再次重启,在安全模式下,点“运行”,输入“regedit”,进入注册表,在“查找”项内输入病毒文件名,这里是“win32.exe”,经过搜索,将所有相关的注册表键值删除。
5)重启电脑,在正常情况下,运行“木马克星”,扫描结果是:无可疑木马。结果证明了我们采取的手段没有错。
另外,对于使用瑞星杀毒软件的朋友,通常在中毒之后,在完全断开网络的情况下启动电脑,如果您打开了瑞星的“开机扫描”功能,那么瑞星是能够截杀被注入后的病毒的,但也同样需要经过上述手法彻底清除病毒。而且在彻底清除后,再次断网启动,您会发现病毒没有了,截杀病毒的通报也不会出现了!
参考:http://www.91kb.cn/read-htm-tid-152.html
怕中毒的话,用火狐浏览器,
保证你不中毒。就算进有木马的网站,
电脑也感染不了,因为这个浏览器能屏蔽病毒和木马.
------------------------------------------------------------------
任何杀软 、专杀、工具(如360safe)等都不是万能的。
首先,关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
1.用Windows清理助手清理 把能检测到的全选后点清理(删除)
参考 http://hi.baidu.com/teyqiu/blog/item/9ae036d1afb087389b5027c2.html
2.用Dr.Web CureIT扫瞄一次你的电脑 【注意:本工具与既有杀软不冲突 放心使用】
a) 下载 Dr.Web CureIT并保存到桌面
b) 运行 cureit.exe ,会提示你做一次Express Scan(快速扫瞄),扫瞄一次你的记忆体,如果找到已感染的档案,会提示你进行杀毒(Cure)
c) Express Scan完成后,按 Select drives ,再按右手面的 三角形/箭头 开始扫瞄
d) 当扫瞄过程中找到已感染的档案,按 Yes to All 去清除/移动档案
e) 扫瞄完成后,如果找到已感染的档案,按中间第一个正方形(有红Tick)的制,再按下面个正方形(由上开始数,第2个)的制,选 Move incurable]
如果能看懂就按照下面所说的去做,不能嫌麻烦 否则请忽略本信息。
发SREng的扫描日志。看日志后分析解决!!!
>>SREng下载链接 (文件名:SREng【teyqiu】.com)http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1363901
下载后双击运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后保存的SREng.log文件的内容(可以用记事本打开)全选 按CTRL+A 复制ctrl+C 粘贴上来。
~~
扫描时,请注意关闭QQ/IE/音乐播放器等等无关程序。
~~
看图操作? http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
日志不要进行任何的编辑
[ 本帖最后由 xxl 于 2007-4-3 21:40 编辑 ] |
发表于 2007-4-3 19:47:17
楼主
,是看进程吗?好象没有.
