Board logo

标题: [反映,木马原因]TW在关闭之后仍旧有程序驻留内存!附图! [打印本页]

作者: 寄托天下    时间: 2005-11-18 13:51     标题: [反映,木马原因]TW在关闭之后仍旧有程序驻留内存!附图!

不知道我是误操作还是什麽的,125的11月9日之后的版本好像都在退出TW之后仍然有程序存在,只有手工结束!老大请修复一下!!嘘嘘乐~~~呵呵

[ Last edited by 光猪战士 on 2005-11-18 at 03:26 PM ]
作者: 寄托天下    时间: 2005-11-18 13:54

用最新的126测试版本退出之后好像也在呢!!!咋回事吖?楼下的帮助一下,thx
作者: xjj    时间: 2005-11-18 13:59

不会吧!!
作者: lght    时间: 2005-11-18 14:08

没有发现这个问题
作者: zhchgao    时间: 2005-11-18 14:21

我的也没有啊。关了以后进程也关了。
作者: 寄托天下    时间: 2005-11-18 14:39

难不成中毒了???KV2006升级之后杀除没有看见吖!!请大家帮助!@!
作者: zhchgao    时间: 2005-11-18 14:47

我试了几次,不存在版主的问题,没有驻留。
作者: iceh    时间: 2005-11-18 14:48

猪猪,升级一下ie看看
作者: 寄托天下    时间: 2005-11-18 15:24

难怪用KV2006杀除不了,这是一个后门木马,2002年就有,然而最新版本KV2006居然杀不了,严重鄙视!以下是介绍:
病毒名称:Backdoor.Y3KRat.14
??别名: Backdoor.Y3KRat.14.b [AVP], BackDoor-GQ.svr [McAfee], BKDR_Y3KRAT.14.A [Trend]
??发现日期:2002-11-18
??病毒类型:特洛伊木马
??感染长度:332,800字节
??危害级别:中
??传播速度:慢
??受影响系统:Windows 95, Windows 98, Windows ME
??不受影响系统:Windows NT, Windows 2000, Windows XP, Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
??
??病毒危害:
??1.修改系统注册表;
??2.记录击键情况,拦截保密数据;
??3.允许未授权访问被感染电脑;
??
??病毒传播:
??通过端口:5888,5889,5882,5884
??
??技术特征:
??该木马用Delphi编写,经过UPX v1.02压缩,运行后它会:
??1.将自己复制为C:WindowsMessenger.exe
??
??2.在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
??中创建键值:Yahoo!??C:WindowsYahoo!Messenger.exe
??使得木马能随Windows的启动而自动运行;
??
??3.将自己注册成一服务进程,在用户注销后仍能继续运行,只有关闭计算机,它才会被关闭。
??
??4.试图访问存储在本机上的密码缓冲区,盗取其中密码。密码包括modem及拔号密码、URL密码、共享密码等。
??
??5.利用ICQ传呼功能通知客户端。
??
??该木马被安装后,它会等待来自远程客户端的指令,这些指令可让黑客执行如下操作:
??(1).发送系统及网络信息给黑客,包括登陆名及缓存密码。
??(2).安装FTP服务器,黑客可指被感染机器作为一个临时存储设备。
??(3).记录用户击键情况,拦截保密数据及当前屏幕信息发送给黑客。
??(4).下载及执行文件。
??(5).进行屏幕截图并发送给黑客。
??
??木马清除:
??1.更新病毒定义库;
??2.进行全系统扫描,删除找到的Backdoor.Y3KRat.14文件;
??3.删除注册表
??HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
??中的键值Backdoor.Y3KRat.14
作者: 寄托天下    时间: 2005-11-18 15:25

注册表里面:
作者: xxxx    时间: 2005-11-18 15:37

与TW无关啊
作者: 寄托天下    时间: 2005-11-18 15:42

是啊!冤枉了!kv2006怎么这么不行啊!用瑞星居然杀出来了!晕!

[ Last edited by 光猪战士 on 2005-11-18 at 03:44 PM ]
作者: red-M    时间: 2005-11-18 17:17

猪猪啊,唉
不说你啦,哈哈哈哈
作者: 寄托天下    时间: 2005-11-18 17:21

晕啊~居然中了灰鸽子的一个变种Backdoor.GPigeon,现在倒好,怎么也杀除不了,瑞星,KV2006,AVP,金山全部安装都可以查,就是在安全模式下杀掉又有了!hijack,SSM,ewido,木马克星全部用上都无法摆平,看来这个变种灰鸽子太TNND郁闷了!
作者: 山水人天    时间: 2005-11-18 17:29

。。。为什么会中呢
作者: 寄托天下    时间: 2005-11-18 17:33

为什麽?俺不太清楚!好像很多压缩包里面有!KV2006杀木马确实太差了!
实在没办法,用了瑞星的专杀鸽子程序
http://it.rising.com.cn/service/technology/Ravgpk_Download.htm
好像搞好了!搞了几个小时,头都大了!!!
TMD灰鸽子~~~~
作者: TW越来越好    时间: 2005-11-18 17:55

從來未有事,竟出光豬巢。

我沒殺毒軟件,也沒防火牆,一直健康地存在著。

升級所有能升的東西,系統,系統補丁,IE等。。。。

[ Last edited by TW越来越好 on 2005-11-18 at 06:46 PM ]
作者: 寄托天下    时间: 2005-11-18 18:02

有空把这个传上来你试试!我已经把木马反馈给KV官方,论坛上面也有很多这些中了的人士!目前好像就是只有手工清除注册表和DLL,其他办法都不明显!!
作者: zhuangv    时间: 2005-11-18 21:03

桌面:YellowMovie
汗-_________- !!!!
作者: 小絮    时间: 2005-11-18 21:56

Originally posted by 山水人天 at 2005-11-18 05:29 PM:
。。。为什么会中呢


山人没看见猪猪的桌面上有个“yellowmovie”么?
可恶的猪猪,每次都用窗口挡住桌面上的美女!
作者: 寄托天下    时间: 2005-11-18 22:19

冤!那个是在线查找电**源的!论坛上有人发布过!
刚刚那个说不怕死的?我把灰鸽子病毒打包上传了,有胆量的就试试!嘿嘿!!
作者: 小絮    时间: 2005-11-18 22:43

呵呵,我也有一个灰鸽子病毒的样本,就在我的截图里面,小猪想要的话我也可以免费赠送。
作者: 寄托天下    时间: 2005-11-19 02:33

我是坚决不要了!怕了!!!
作者: btfy888    时间: 2005-11-19 08:36

不健康上网方式,哈哈,用咔吧安全模式下,基本没有杀不了的鸽子
作者: aych    时间: 2005-11-19 10:04

老猪说得那么严重,我用卡巴50388怎么那么轻松就给卡了?
作者: 寄托天下    时间: 2005-11-19 11:35

各位大大不信啊?下载楼上的病毒包试试?嘿嘿!
我现在需要重装Xp了!靠,超级拖曳功能也被破坏了!靠!郁闷的要死了!!
作者: aych    时间: 2005-11-19 13:53

我就是专门下载你那个病毒包来试的^_^
作者: 小絮    时间: 2005-11-19 19:22

我下载了,查了,kv2005、vrv都查不出!晕,赶紧删掉。
作者: hcyjc    时间: 2005-11-19 21:36

那就是楼主杀毒软件的问题了,推荐你用NOD32吧,比较优秀

灰鸽子病毒打包.rar »RAR »病毒打包\cc.exe - 变种的 Win32/Hupigon 木马

[ Last edited by hcyjc on 2005-11-19 at 09:54 PM ]
作者: 寄托天下    时间: 2005-11-19 22:13

谢谢了!诺顿查杀可以,如果挂钩了也没有办法!这个如果运行,杀除的可能性非常小
作者: lanyezyc    时间: 2005-11-20 19:21

天啊
我的也有阿
作者: red-M    时间: 2005-11-21 08:59

唉,都是论坛发的那个yellowmovie软件捆绑的木马,那个帖子已经删掉了。希望大家引以为戒!!
作者: 谁都不容易    时间: 2005-11-24 14:56

1.25出现同样的问题!!!未发现病毒!用的是卡巴。

现己换回1.24了.

谁知道是怎么回事?




欢迎光临 世界之窗论坛 (http://bbs.theworld.cn./) Powered by Discuz! 7.2