PALMisLIFE 討論區

標題: [求助] 清不掉的 Backdoor.Graybird [列印本頁]

作者: 小酒蟲    時間: 2005-3-22 20:34
標題: [求助] 清不掉的 Backdoor.Graybird
回到美國之後,發現 SAV 的自動週期掃描在 server 中發現了 Backdoor.Graybird。由於在離美之前並未發現,而發現日期是在離美一週內,所以很難推測是由何處植入。

好吧,怎麼來的也不重要了,但是怎麼請走就不知道了。把 Symantec 網站上的手動解法都比對過,竟然在登錄檔找不出任何可疑程式;但是我每次一重開機,SAV 就會警告我 rundll.dll 被 Backdoor.Graybird 感染,同時已一併殺掉該檔。

現在全然想不出怎麼「抓鬼」....B)B)B)
作者: 筠心    時間: 2005-3-22 20:39
標題: Re: [求助] 清不掉的 Backdoor.Graybird
搜一下Rundll*.* 看看日期...
一般來說會有一個舊的放在根目錄,那個才是真的Rundll...
進安全模式的命令列,把舊的覆蓋過去....
作者: 小酒蟲    時間: 2005-3-22 20:47
標題: Re: [求助] 清不掉的 Backdoor.Graybird
根目錄下沒有 rundll*.*,不過倒是在 /winnt 之下,找到兩個隱藏檔:rundll.exe、rundllhk313.dll。先把這兩個不該存在的檔幹掉看看。
作者: 筠心    時間: 2005-3-22 20:52
標題: Re: [求助] 清不掉的 Backdoor.Graybird
這種應該是把你原來的Rundll Rename成別的東西,
當你開機時,系統自動會把假的 Rundll叫起來,由它來執行真的Rundll,
也順便執行木馬...

所以...搞不好你刪掉的東東有一個是真的Rundll.....希望你運氣夠好...
作者: 小酒蟲    時間: 2005-3-22 21:07
標題: Re: [求助] 清不掉的 Backdoor.Graybird
不過這兩個檔日期也太新(2005 年),所以才「假定」他們兩個都是假貨。

[ Last edited by 小酒蟲 on 2005-3-22 at 05:12 ]
作者: grofelin    時間: 2005-3-23 01:13
標題: Re: [求助] 清不掉的 Backdoor.Graybird
提供一下個人經驗...參考參考..

由日期判斷是個方法...
可以查一下跟rundll.dll 同一目錄跟同一日期的檔案
有時他是一起放進一堆程式...

或者查一下..service 或許藏在裡面呢!
如果是中文OS,我通常直接檢查一下"描述"的部分是英文或空的...
是不是有奇特的程式跟路徑..
不然win.ini跟system.ini也有可能藏喔...
作者: 小酒蟲    時間: 2005-3-23 02:23
標題: Re: [求助] 清不掉的 Backdoor.Graybird
Services 中有一個「Pigeon_Server」也一併被我清掉,之後就尚未發現什麼奇怪檔案;不過登錄檔中有個「LEGACY_PIGEONSERVER」倒是清不掉,老是說刪除時發生錯誤?

[ Last edited by 小酒蟲 on 2005-3-22 at 10:51 ]
作者: yuyudiabo    時間: 2005-3-24 11:35
標題: Re: [求助] 清不掉的 Backdoor.Graybird
下面的網址有remove的S/W, 我沒中過, 所以也沒試過, 也許你可以試看看
http://www.2-spyware.com/remove-backdoor-graybird.html




歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/) Powered by Discuz! X2.5