如何亲手清除鸽子？

亲手清除鸽子

中啦鸽子，安全特警报告(没注意第一次提示没有,这次是故意中的,为拉写这片文章截图)

用卡巴安全套装扫不出

。。。
这次看不到进程拉，！！

查看网络活动，tcpview，

明明没有开浏览器在process里也没看到浏览器进程。。

终于找到啦，<non-existent>:872TCPclin003:1110192.168.0.2:8000SYN_SENT

进程网络连接关啦，还会自动出现建立连接！！

木办法 ，只好禁掉网络连接。。

关掉连接后并没有看到鸽子活动（网络连接）

现在凭借安全特警提供的监视报告，

搜索时显示系统文件。

时间监控对象行为描述
2006-12-18 14:26:26C:/WINDOWS/system32删除文件: G_Server2006.exe
2006-12-18 14:26:26C:/WINDOWS/system32创建了文件: G_Server2006.exe
2006-12-18 14:26:28C:/WINDOWS/system32删除文件: G_Server2006.DLL
2006-12-18 14:26:28C:/WINDOWS/system32创建了文件: G_Server2006.DLL
2006-12-18 14:26:35C:/WINDOWS/system32删除文件: G_SERVER2006KEY.DLL
2006-12-18 14:26:35C:/WINDOWS/system32创建了文件: G_SERVER2006KEY.DLL
2006-12-18 14:27:00C:/WINDOWS/system32创建了文件: G_SERVER2006KEY.log
2006-12-18 14:35:21C:/WINDOWS/system32/drivers创建了文件: PROCEXP100.SYS
2006-12-18 14:35:21C:/WINDOWS/system32/drivers删除文件: PROCEXP100.SYS
只有G_SERVER2006KEY.log拉，其他的几个已被删掉啦，不过别被这个log文件迷惑拉，他可是还有作用的（在种鸽子人的主控端再现的时候他就出来啦）

一律删掉。

服务监控报告中
时间监控对象行为描述
2006-12-18 14:26:27HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services创建了值: "输入法"服务被变动，请注意是否是后门木马的修改。
2006-12-18 14:35:21HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services创建了子键: "PROCEXP100"服务被变动，请注意是否是后门木马的修改。
2006-12-18 14:35:21HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services删除了子键: "splitter"服务被变动，请注意是否是后门木马的修改。
2006-12-18 14:35:22HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services删除了子键: "PROCEXP100"服务被变动，请注意是否是后门木马的修改。
2006-12-18 14:35:22HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services创建了子键: "splitter"服务被变动，请注意是否是后门木马的修改。

看来这次鸽子只有一个服务创建拉。
基本上没有创建成功，

安全起见，用rootKitRevealer扫下系统里的隐藏文件和注册表，

瓦，还真有，现扫出来先。

最好到安全模式下，找出来kill掉
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Reliability/LastAliveUptime2006-12-18 15:124 bytesData mismatch between Windows API and raw hive data.
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Reliability/LastAliveStamp2006-12-18 15:1216 bytesData mismatch between Windows API and raw hive data.
HKLM/SYSTEM/ControlSet001/Services/2006-12-18 14:260 bytesHidden from Windows API.
C:/WINDOWS/system32/G_Server2006.DLL2006-12-18 14:26680.00 KBHidden from Windows API.
C:/WINDOWS/system32/G_Server2006.exe2006-12-18 14:26289.41 KBHidden from Windows API.
C:/WINDOWS/system32/G_SERVER2006KEY.DLL2006-12-18 14:2660.50 KBHidden from Windows API.

。。。
重起到安全模式下。

最好能用killbox或‘安全特警自带的删除组件删除那三个system32下的文件
搜索注册表里的g_server搜到后，kill掉

搜到这对文件，我把他们剪切到一个文件夹里边（若你十分痛恨的话可以直接kill掉）
有四个山不掉竟然。没关系让killbox删

干静啦，世界终于清静啦
---------------------------------------------------

至于安全特警为啥能删掉鸽子的部分文件，个人感觉是因为上次中鸽子时，用安特删除拉那几个文件，侧面说明安特学习能力比较强。。

文件列表:

http://sys-fans.googlegroups.com/web/ast.rar

http://sys-fans.googlegroups.com/web/KillBox.zip

http://sys-fans.googlegroups.com/web/RootkitRevealer.zip

http://sys-fans.googlegroups.com/web/TcpView.zip

http://sys-fans.googlegroups.com/web/ProcessExplorerNt.zip

鸽子版本:vip2006