谁能帮我分析一下这个hijackthis的日志 看看哪个是灰鸽子的进程
C:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\alg....
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Tencent\TT\bin\TTraveler.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [YY] C:\Program Files\duowan\yy-3.0\Start.exe
O4 - HKCU\..\Run: [PPAP] "C:\Program Files\Common Files\PPLiveNetwork\PPAP.EXE" -background
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: 使用迅雷下载 - D:\Program Files\迅雷\BHO\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - D:\Program Files\迅雷\BHO\GetAllUrl.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll 展开
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Tencent\TT\bin\TTraveler.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [YY] C:\Program Files\duowan\yy-3.0\Start.exe
O4 - HKCU\..\Run: [PPAP] "C:\Program Files\Common Files\PPLiveNetwork\PPAP.EXE" -background
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: 使用迅雷下载 - D:\Program Files\迅雷\BHO\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - D:\Program Files\迅雷\BHO\GetAllUrl.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\gamelink.dll 展开
3个回答
展开全部
灰鸽子进程好像是隐藏的
灰鸽子手动与杀软防火墙结合的清除方法。
现在灰鸽子变种越来越多,金山介绍的那种手动清除方法只能对付少数原始的灰鸽子病毒。但要真正做到阻断与灰鸽子控制端的联系,必须采用更新的方法。今天我就介绍一种我使用的方法。
鉴于本人水平有限,定有不少errors,望大家谅解。
废话少说,转入正题:
必备的工具:冰刃Icesword、一款能有效查杀灰鸽子的杀软(这里我推荐瑞星、F-secure、AVG)最好还有一款能手动封堵端口的防火墙。
先讲讲目前灰鸽子工作的基本原理:灰鸽子的服务端运行后会自动往C:\windows\或C:\program files或C:\windows\system32下写入.dll和.exe的文件。在计算机启动时,*.exe的文件就会自动调用灰鸽子进程注入系统进程。(现在常用的是伪装如记事本、放大镜、计算器的进程,并注入IE进程),完成对被控计算机的监控。
那么,我们对付灰鸽子首要任务就是切断信息的往来。具体操作如下:
1、进入Icesword关闭红色的可疑进程(如果没有发现可疑进程,就开启任务管理器,比较冰刃中多出的进程)。记住,关掉进程前注意记下进程文件的路径。
2、现在灰鸽子常用的是TCP137,138,139,UDP137,138,139端口。启动防火墙,并自己添加规则封堵进出的TCP/UDP137,138,139端口。(注意清除完灰鸽子后恢复默认的设置。)
切断与控制方的信息往来后,就可以开始清除鸽子了。
3、启动杀毒软件,更新到最新的病毒库及引擎,执行全盘的描,将扫到的病毒清除或者隔离。
4、仍然回到冰刃,我们要禁用灰鸽子的服务(金山的灰鸽子手动清除教程里忽略了这点,什么素质嘛…)。首先点击冰刃左边的“服务”。判断哪个是灰鸽子的服务项确实有一定的难度,如果你能一眼分辨出来当然最好,如果不能不妨试试以下判断的方法:
(1)有的黑客懒得去改服务项名称,就用默认的服务项。我给大家提供一下黑防版灰鸽子的默认服务项名称及描述,服务名:GrayPigeon_Hacker.com.cn,描述信息:灰鸽子服务端程序。远程监控管理.
(2)如果黑客改动过服务名,那你可以先凭感觉判断。如:你不熟悉的服务,你有一定理由说明那是灰鸽子的服务。
(3)观察服务的描述,如果描述中有远程控制,远程桌面,后台操作等字样,很有可能是灰鸽子服务。
(4)仔细回忆你最近接受的可疑文件的名称,如果服务项名称和那个文件的名称一样,有可能是灰鸽子。
(5)如果一个服务项名称很明显是某个程序,你又没装过这个程序,那很明显是灰鸽子伪装的。如我计算机中的pal4 patch是仙4的补丁,但我却没有安装过。
(6)观察服务名和服务描述,如果是一样的,那也有可能是病毒服务。
服务项是比较多,需要耐心的观察。当你比较确定它是灰鸽子的服务时,右击该服务,禁用它。
5、点击冰刃左边的文件。按照刚才记下的进程路径找到染毒文件并删除它(这步会导致一些系统文件不能使用,特别是IE,但你可以向网友索要他们的没染毒的IE,然后再安上就好了)。
到这里,基本上就完成了。重新启动计算机,进行全盘的杀毒,记住要开启启发式查毒。如果杀软有可疑文件扫描,就要再扫一次,把可疑文件上报杀毒公司并把删除可疑文件。
-----------------------------------------
注意:一切对系统文件及设置的修改都存在危险,请做好备份,出现系统不稳定本人概不负责。。。。。。
另外,等染上了灰鸽子再杀毒不是一个好办法,重要的是防范于未然。平时打开杀毒软件的实时监控,并更新到最新病毒库。不接受陌生人的邮件及文件,更不要打开!
也可以下载灰鸽子专杀工具
灰鸽子手动与杀软防火墙结合的清除方法。
现在灰鸽子变种越来越多,金山介绍的那种手动清除方法只能对付少数原始的灰鸽子病毒。但要真正做到阻断与灰鸽子控制端的联系,必须采用更新的方法。今天我就介绍一种我使用的方法。
鉴于本人水平有限,定有不少errors,望大家谅解。
废话少说,转入正题:
必备的工具:冰刃Icesword、一款能有效查杀灰鸽子的杀软(这里我推荐瑞星、F-secure、AVG)最好还有一款能手动封堵端口的防火墙。
先讲讲目前灰鸽子工作的基本原理:灰鸽子的服务端运行后会自动往C:\windows\或C:\program files或C:\windows\system32下写入.dll和.exe的文件。在计算机启动时,*.exe的文件就会自动调用灰鸽子进程注入系统进程。(现在常用的是伪装如记事本、放大镜、计算器的进程,并注入IE进程),完成对被控计算机的监控。
那么,我们对付灰鸽子首要任务就是切断信息的往来。具体操作如下:
1、进入Icesword关闭红色的可疑进程(如果没有发现可疑进程,就开启任务管理器,比较冰刃中多出的进程)。记住,关掉进程前注意记下进程文件的路径。
2、现在灰鸽子常用的是TCP137,138,139,UDP137,138,139端口。启动防火墙,并自己添加规则封堵进出的TCP/UDP137,138,139端口。(注意清除完灰鸽子后恢复默认的设置。)
切断与控制方的信息往来后,就可以开始清除鸽子了。
3、启动杀毒软件,更新到最新的病毒库及引擎,执行全盘的描,将扫到的病毒清除或者隔离。
4、仍然回到冰刃,我们要禁用灰鸽子的服务(金山的灰鸽子手动清除教程里忽略了这点,什么素质嘛…)。首先点击冰刃左边的“服务”。判断哪个是灰鸽子的服务项确实有一定的难度,如果你能一眼分辨出来当然最好,如果不能不妨试试以下判断的方法:
(1)有的黑客懒得去改服务项名称,就用默认的服务项。我给大家提供一下黑防版灰鸽子的默认服务项名称及描述,服务名:GrayPigeon_Hacker.com.cn,描述信息:灰鸽子服务端程序。远程监控管理.
(2)如果黑客改动过服务名,那你可以先凭感觉判断。如:你不熟悉的服务,你有一定理由说明那是灰鸽子的服务。
(3)观察服务的描述,如果描述中有远程控制,远程桌面,后台操作等字样,很有可能是灰鸽子服务。
(4)仔细回忆你最近接受的可疑文件的名称,如果服务项名称和那个文件的名称一样,有可能是灰鸽子。
(5)如果一个服务项名称很明显是某个程序,你又没装过这个程序,那很明显是灰鸽子伪装的。如我计算机中的pal4 patch是仙4的补丁,但我却没有安装过。
(6)观察服务名和服务描述,如果是一样的,那也有可能是病毒服务。
服务项是比较多,需要耐心的观察。当你比较确定它是灰鸽子的服务时,右击该服务,禁用它。
5、点击冰刃左边的文件。按照刚才记下的进程路径找到染毒文件并删除它(这步会导致一些系统文件不能使用,特别是IE,但你可以向网友索要他们的没染毒的IE,然后再安上就好了)。
到这里,基本上就完成了。重新启动计算机,进行全盘的杀毒,记住要开启启发式查毒。如果杀软有可疑文件扫描,就要再扫一次,把可疑文件上报杀毒公司并把删除可疑文件。
-----------------------------------------
注意:一切对系统文件及设置的修改都存在危险,请做好备份,出现系统不稳定本人概不负责。。。。。。
另外,等染上了灰鸽子再杀毒不是一个好办法,重要的是防范于未然。平时打开杀毒软件的实时监控,并更新到最新病毒库。不接受陌生人的邮件及文件,更不要打开!
也可以下载灰鸽子专杀工具
参考资料: 百度贴吧江民吧
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
从你上面的所有日志名字都是正常的 当然这个只是名字 其他的需要进一步判断了. ...
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
哥们 看进程 一般都看不出来
你看看 网络连接 在 cmd 下 netstat -an 看看 有没有可疑的 IP链接 连接到 对方 什么端口 那样分析
还有 对方要是没有开 远控的话 也是看不出来的
你看看 网络连接 在 cmd 下 netstat -an 看看 有没有可疑的 IP链接 连接到 对方 什么端口 那样分析
还有 对方要是没有开 远控的话 也是看不出来的
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
