灰鸽子利用显卡驱动程序隐藏案例

灰鸽子利用显卡驱动程序隐藏案例

==============================================================

灰鸽子利用显卡驱动程序隐藏案例Backdoor.Win32.Gpigeon.zgh
用Hijackthis扫描, 在安全模式下修复下面的内容后,用卡巴6.0 对全盘查杀一遍。

注意:

1. 先安装卡巴6.0(升级) 再进入安全模式下修复，修复前先备份!!
2.病毒己更改了系统文件，修复后有可能系统会不正常，需用安装盘来修复系统。
----------------------------------------------------------

R3 - URLSearchHook: SrchHook Class - {F08555B0-9CC3-11D2-AA8E-000000000000} - (没有文件)
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll (这一项如删不掉就先卸掉迅雷,修复实际就是删除)
O3 - IE 工具栏: 快捷工具条3.21 - {BE830FD4-E393-417F-9F4B-CC70ABB3384C} - (没有文件)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - 扩展右键菜单项: 使用迅雷下载 - C:\Program Files\Thunder\Program\geturl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\getallurl.htm
O23 - NT 服务: Event Load (Eventload) - Unknown owner - C:\Program.exe(文件不存在)
--------------------------------------------------------------
日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 14:27:33,2007-12-11
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v6.00 SP2 (6.00.2900.2180)
启动模式: 正常

正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\VM303_STI.EXE
F:\超级巡警\ast\AST.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\svchost.exe
F:\txd\最新通达信\趋势跟踪投资机构.exe
E:\飞狐5.07网络版\FoxTrader\FoxTrader.exe
E:\飞狐5.07网络版\FoxTrader\system\ftstkdrv.exe
C:\Documents and Settings\Administrator\桌面\hijackthis.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nst216.tmp\hijackthis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [Anti-Spy Tools] F:\超级巡警\ast\AST.exe -min
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O9 - 额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6F7CA5A-1EE2-4804-AAFF-4F9869E8F399}: NameServer = 222.41.52.3 61.232.202.158
O23 - NT 服务: 卡巴斯基反病毒6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - NT 服务: Event Load (Eventload) - Unknown owner - C:\Program.exe(文件不存在)
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

文件结束 - 2211 字节
----------------------------------------------------------
在安全模式下用AST4.0或冰刃删除下面这项服务。
O23 - NT 服务: Event Load (Eventload) - Unknown owner - C:\Program.exe(文件不存在)

C:\Program Files应该是个系统文件夹，瑞星把它当病毒删除了。而不应该是服务，同时;windows中也没有Program.exe这个文件构成的服务。

删除后不要重启,继续用AST4.0或冰刃扫描后分别查看一下; 启动项(组)、进程、服务、内核模块这几项中有没有红色显示的内容，有就全删除。

之后; 这死鸽子就应该现身了,用卡巴或手工都能清除它了。但;此时因C:\Program Files是个系统文件夹，它可能被瑞星当病毒删除了, 你得马上用系统盘来修复系统，否则系统会启动不了。

你注意看一下C:\Program Files 这个系统文件夹还在不? 若还在, 下一步我们再来修复文件关联。
--------------------------------------------------------------
步骤不要错。
1.在安全模式下用AST4.0或冰刃删除下面这项服务。

O23 - NT 服务: Event Load (Eventload) - Unknown owner - C:\Program.exe(文件不存在)
2.删除后不要重启,继续用AST4.0或冰刃扫描后分别查看一下; 启动项(组)、进程、服务、内核模块这几项中有没有红色显示的内容，有就全删除。

3.之后; 这死鸽子就应该现身了,用卡巴或手工都能清除它了。

注: 用AST或冰刃查看上述各项时，要在右面窗口中空白处右击，在弹出的右键菜单中选择相应的项目 (如;选内核驱动才能找出驱动型木马的服务项。选隐藏服务才能扫描出隐藏的服务等等。)
下一步我们再来修复文件关联。
----------------------------------------------------------------
禁用系统自动更新，再修复这1项;
O15 - ESC Trusted Zone: http://*.update.microsoft.com
再扫一次。
----------------------------------------------------------------
日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 22:44:56,2007-12-11
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v7.00 (7.00.6000.16544)
启动模式: 正常

正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\VM303_STI.EXE
F:\超级巡警\ast\AST.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\桌面\hijackthis.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nst1F.tmp\hijackthis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [Anti-Spy Tools] F:\超级巡警\ast\AST.exe -min
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - 额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6F7CA5A-1EE2-4804-AAFF-4F9869E8F399}: NameServer = 222.41.52.3 61.232.202.158
O23 - NT 服务: 卡巴斯基反病毒6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
文件结束 - 2051 字节
--------------------------------------------------
OK,恭喜你!成功。
打上安全补丁，<<windows的默认服务>>关闭多余的服务后，重启系统。

欢迎光临午时栏社区	高先网络	QQ远程协助留言	反回首页
软件学习使用栏目	病毒分析查杀栏目	中小学幼儿栏目	英语会话栏目

灰鸽子利用显卡驱动程序隐藏案例 ============================================================== 灰鸽子利用显卡驱动程序隐藏案例Backdoor.Win32.Gpigeon.zgh 用Hijackthis扫描, 在安全模式下修复下面的内容后,用卡巴6.0 对全盘查杀一遍。注意: 1. 先安装卡巴6.0(升级) 再进入安全模式下修复，修复前先备份!! 2.病毒己更改了系统文件，修复后有可能系统会不正常，需用安装盘来修复系统。 ---------------------------------------------------------- R3 - URLSearchHook: SrchHook Class - {F08555B0-9CC3-11D2-AA8E-000000000000} - (没有文件) O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll (这一项如删不掉就先卸掉迅雷,修复实际就是删除) O3 - IE 工具栏: 快捷工具条3.21 - {BE830FD4-E393-417F-9F4B-CC70ABB3384C} - (没有文件) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - 扩展右键菜单项: 使用迅雷下载 - C:\Program Files\Thunder\Program\geturl.htm O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\getallurl.htm O23 - NT 服务: Event Load (Eventload) - Unknown owner - C:\Program.exe(文件不存在) -------------------------------------------------------------- 日志文件 Trend Micro HijackThis v 2.0.2 日志保存时间: 14:27:33,2007-12-11 操作系统: Windows XP SP2 (WinNT 5.01.2600) IE版本: Internet Explorer v6.00 SP2 (6.00.2900.2180) 启动模式: 正常正在运行的进程: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\VM303_STI.EXE F:\超级巡警\ast\AST.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\svchost.exe F:\txd\最新通达信\趋势跟踪投资机构.exe E:\飞狐5.07网络版\FoxTrader\FoxTrader.exe E:\飞狐5.07网络版\FoxTrader\system\ftstkdrv.exe C:\Documents and Settings\Administrator\桌面\hijackthis.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nst216.tmp\hijackthis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) O4 - HKLM\..\Run: [Anti-Spy Tools] F:\超级巡警\ast\AST.exe -min O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O9 - 额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{A6F7CA5A-1EE2-4804-AAFF-4F9869E8F399}: NameServer = 222.41.52.3 61.232.202.158 O23 - NT 服务: 卡巴斯基反病毒6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - NT 服务: Event Load (Eventload) - Unknown owner - C:\Program.exe(文件不存在) O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe 文件结束 - 2211 字节 ---------------------------------------------------------- 在安全模式下用AST4.0或冰刃删除下面这项服务。 O23 - NT 服务: Event Load (Eventload) - Unknown owner - C:\Program.exe(文件不存在) C:\Program Files应该是个系统文件夹，瑞星把它当病毒删除了。而不应该是服务，同时;windows中也没有Program.exe这个文件构成的服务。删除后不要重启,继续用AST4.0或冰刃扫描后分别查看一下; 启动项(组)、进程、服务、内核模块这几项中有没有红色显示的内容，有就全删除。之后; 这死鸽子就应该现身了,用卡巴或手工都能清除它了。但;此时因C:\Program Files是个系统文件夹，它可能被瑞星当病毒删除了, 你得马上用系统盘来修复系统，否则系统会启动不了。你注意看一下C:\Program Files 这个系统文件夹还在不? 若还在, 下一步我们再来修复文件关联。 -------------------------------------------------------------- 步骤不要错。 1.在安全模式下用AST4.0或冰刃删除下面这项服务。 O23 - NT 服务: Event Load (Eventload) - Unknown owner - C:\Program.exe(文件不存在) 2.删除后不要重启,继续用AST4.0或冰刃扫描后分别查看一下; 启动项(组)、进程、服务、内核模块这几项中有没有红色显示的内容，有就全删除。 3.之后; 这死鸽子就应该现身了,用卡巴或手工都能清除它了。注: 用AST或冰刃查看上述各项时，要在右面窗口中空白处右击，在弹出的右键菜单中选择相应的项目 (如;选内核驱动才能找出驱动型木马的服务项。选隐藏服务才能扫描出隐藏的服务等等。) 下一步我们再来修复文件关联。 ---------------------------------------------------------------- 禁用系统自动更新，再修复这1项; O15 - ESC Trusted Zone: http://*.update.microsoft.com 再扫一次。 ---------------------------------------------------------------- 日志文件 Trend Micro HijackThis v 2.0.2 日志保存时间: 22:44:56,2007-12-11 操作系统: Windows XP SP2 (WinNT 5.01.2600) IE版本: Internet Explorer v7.00 (7.00.6000.16544) 启动模式: 正常正在运行的进程: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\VM303_STI.EXE F:\超级巡警\ast\AST.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Administrator\桌面\hijackthis.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nst1F.tmp\hijackthis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) O4 - HKLM\..\Run: [Anti-Spy Tools] F:\超级巡警\ast\AST.exe -min O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - 额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{A6F7CA5A-1EE2-4804-AAFF-4F9869E8F399}: NameServer = 222.41.52.3 61.232.202.158 O23 - NT 服务: 卡巴斯基反病毒6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- 文件结束 - 2051 字节 -------------------------------------------------- OK,恭喜你!成功。打上安全补丁，<<windows的默认服务>>关闭多余的服务后，重启系统。


发表:2007-12-11 3:36:21 \|