返回信息流晚上搜论文的时候中着了,norton报警是backdoor.graybird,进程里多了reader_sl和LSASS,qq的密码防护功能已经失效。因为丢过一次qq,所以这次比较小心,没有登陆qq,停止了reader_sl进程,但是停止不了LSASS,还杀了感染了病毒的Wince.dll文件,还下载了木马克星,但是出乎意料的是无法运行,第一次打开的时候好像有个扫描的过程,但是很快就自动关闭,以后每次打开就是出错。我还下了一个windows木马清道夫,结果也是一样的。不知遇到这张情况又不想重装该怎么处理?高手给指点一下。谢谢!
这是一条镜像帖。来源:北邮人论坛 / security / #2056同步于 2006/6/4
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
[求助]中了木马,但是无法用木马克星—_—!!!!!
djkey0
2006/6/4镜像同步20 回复
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复
orz 就是灰鸽子嘛,用Icesword
PS:
reader_sl是Adobe的进程
LSASS 停了,你就等着电脑倒计时60s重启吧 呵呵
qq密码保护失效,如果你用的是qq2005, qq2006
很有可能是木马删除或者破坏了Tencent\QQ200*\npkcrypt.sys 这个文件所致
因为这样,这个垃圾木马才有能力截获你的qq密码输入
【 在 bnuer 的大作中提到: 】
: orz 就是灰鸽子嘛,用Icesword
: PS:
: reader_sl是Adobe的进程
: ...................
谢谢,请问怎么能修复qq?
【 在 bnuer 的大作中提到: 】
: orz 就是灰鸽子嘛,用Icesword
: PS:
: reader_sl是Adobe的进程
: ...................
下了icesword 但是不太会用啊......看了一个网上的说明但是情况好像不太一样.......
用icesword来砍掉进程 记住对应的病毒执行文件 再用killbox删除 一般都行
再不行就在安全模式下用killbox 应该能杀掉 但注意的是 killbox功能比较猛权限比较高 你要是删错的话系统可能会……
我用icesword看了一下,进程里没有什么特别的阿,据说有问题会标出
norton报警的病毒文件是Wince.dll,我在c/windows/下看到有三个一族的文件wince.exe,wince.dll,wincekey.exe,不知道是不是这三个?
是中了灰鸽子
灰鸽子使用了自我保护线程
你先用Icesword的IsHelp插件的查找dll功能,
看这几个dl插入了哪些进程
然后用Icesword找到这些进程中,使用模块查看功能, 依次卸载/强制卸载这些模块
完了,再杀了wincekey.exe这个进程
然后再用ntfs磁盘权限(如果你是ntfs磁盘格式的话), 禁用这几个文件的执行权限
最后把那个启动灰鸽子的服务禁用掉,或者用sc delete 掉那个服务
好像灰鸽子还有个驱动在system32\driver目录下面 是greymirror.sys 还是什么 记不清了
也删掉,是灰鸽子用来监控用户桌面显示的驱动