金年会金字招牌诚信至上,金年会金字招牌诚信至上,金年会金字招牌诚信至上,金年会金字招牌诚信至上

91手機維修論壇

標題: 手動(dòng)清除灰鴿子的一點(diǎn)心得 [打印本頁(yè)]

作者: 極目楚天 時(shí)間: 2008-12-15 20:51
標題: 手動(dòng)清除灰鴿子的一點(diǎn)心得
手動(dòng)清除灰鴿子的一點(diǎn)心得

　今天上了會(huì )網(wǎng)感覺(jué)網(wǎng)速忽然慢了下來(lái)，恩？怎么？被人入侵？這是我當時(shí)的第一感覺(jué)。黑基論壇,培訓,動(dòng)畫(huà),教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香4};E0H5G/Z E8D/V&m
★●黑基論壇●★"c7E [1J6@7\.H
而事后證明了我猜測的正確性�！�★●黑基論壇●★+x!c2w$T;\)q/X

-A-@(|-e7R5?bbs.hackbase.com �。�1）首先ctrl+alt+del打開(kāi)進(jìn)程查看，沒(méi)什么異常。。
!s t&m6{)s

G,A!C黑基論壇,培訓,動(dòng)畫(huà),教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香  bbs.hackbase.com,E2K2r"a.~9y2p.d2x
  　可是網(wǎng)速還是忽快忽慢，不甘心。
培訓,動(dòng)畫(huà),教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香)H+a4j#F0O,W8r
  　用絕招咯---重起。哈哈。當我重起打開(kāi)機器的一瞬，知覺(jué)讓我再次打開(kāi)了進(jìn)程，哈哈。這一看讓我抓
到尾巴咯，原來(lái)多了個(gè)wsc...的進(jìn)程，還沒(méi)高興完，它的名字都沒(méi)記清，它就消失了，郁悶。怎么辦泥★●黑基論壇●★/},l4C5}2t3|*A(o1G5C
bbs.hackbase.com+i+A;`%B-?0T6?8e1u
？思考中。。。那東西既然是開(kāi)機自啟動(dòng)，對，就去msconfig里看看究竟。開(kāi)始--運行--輸入msconfig，'|9T,s1f/k7l2F1g;}
&v/U0|&v4g
切換到啟動(dòng)項，恩，不錯，有個(gè)新增的啟動(dòng)項，不過(guò)啟動(dòng)項目的名稱(chēng)被隱藏了，郁悶。3T+Z.y$R1E$r*B
黑基論壇,培訓,動(dòng)畫(huà),教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香7f*t m2Y"S/X+z8^0u
　　最起碼知道了點(diǎn)線(xiàn)索。繼續努力中。。。
  　　怎么才能弄到它的啟動(dòng)名稱(chēng)呢？。。。。哈哈。想到了---截圖。（原來(lái)這就叫靈感啊，嘎嘎）
教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香0c!h9I;A#R(r9F
  　　重起機器，剛剛顯示桌面的時(shí)候迅速按下ctrl+alt+del切換到進(jìn)程項，并以迅雷不及掩耳之勢按下/|-X/^!g;U;K*N Y)~%{&^
●★黑基論壇★●  - 全球最大中文黑客社區2`%f6K-~;?
Print Screen(哈哈，鍵盤(pán)上F12右下方的位置)，哈哈，此時(shí)它居然還在（看出配置低的優(yōu)點(diǎn)了吧，就是
慢，慢有慢的好處哦，當有異常的入侵等活動(dòng)的時(shí)候一下就感覺(jué)到了，：）偷笑中...），正當我高興的
時(shí)候，它就消失了,至此第一步目的達到了。-----弄清那個(gè)家伙到底叫什么。它的名字就是wscsvic.exe★●黑基論壇●★+A,E6O1F%F"W*g H
★●黑基論壇●★*s6t!H'u)c6c$B y P:^
。&C$g,p+v8q(j1J(G:G
bbs.hackbase.com&j3x%@5J3]5t
下面是進(jìn)程的截圖：
,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香2|:A7a)z+@;A/F
★●黑基論壇●★/V%~&C5}+Z*e(`2_
  ★●黑基論壇●★6Z-_+S#j8e0h M
(u;w0m0K*@&\8S/{
  　�。�2）接下來(lái)就該確定路徑了，我是這么做的：bbs.hackbase.com!?9d4E2\1Q"t8d$P'C

開(kāi)始--運行---輸入regedit，打開(kāi)注冊表編輯器，查找，徹底的查找，從我的電腦根鍵下開(kāi)始。ctrl+F
輸入wscsvic，查找。不一會(huì )找到了。F3繼續找。找完共兩處。經(jīng)與我裝系統時(shí)備份的注冊表比較后確定
新建鍵值為
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Security Cente和k
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SECURITY_CENTE8c5j

k
8Q6~#x2w)k)g2[9J9C
可知原文件是c:\windows下的wscsvic.exe，呵呵，很有誘惑力的名字哦。象它的鍵值一樣有誘惑●★黑基論壇★●  - 全球最大中文黑客社區5x7O/T"F"b$|8C
力，由此可見(jiàn)備份是多么的重要啊。黑基論壇,培訓,動(dòng)畫(huà),教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香3c.E5N$R"b*Z*\.w-E

�。�3）尋找原文件c:\windows\wscsvic.exe，Kill之。bbs.hackbase.com&~'T)o:c+J H$[0l-I:S0I/^

可是到了windows下，把 ”工具--文件夾選項--查看下的顯示所有文件和文件夾“選中，”隱藏受保護的
系統文件“前的勾去掉后，還是找不到目標文件。再次陷入了郁悶中......

　過(guò)了一會(huì )靈感又來(lái)了--安全模式。（高手可能早就想到了，見(jiàn)笑了。）黑基論壇,培訓,動(dòng)畫(huà),教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香*V5z.A'\5d6s3l+Y
黑基論壇,培訓,動(dòng)畫(huà),教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香.p'b)[#K3s*W$P
呵呵，果然工夫不負有心人，在重起按下F8進(jìn)入安全模式后，兇手終于被我逮住了。哈哈，高興啊。然后
右鍵--排列圖標--按修改日期排列，發(fā)現與其同時(shí)生成的還有兩個(gè)文件wscsvic.dll和wscvsic_hook.dll★●黑基論壇●★7J*j;K'M9R:J7X
由其文件特征判斷為灰鴿子后門(mén)程序，至此，灰鴿子三兄弟全部被捕。下面就該法官出場(chǎng)了。經(jīng)審判。法
官宣布：死刑，立即執行。呵呵，臺下響起陣陣掌聲....(注冊表里的兩兄弟應涉嫌協(xié)助鴿子三兄弟作案★●黑基論壇●★([)T3O9q(\#T0W7Q!O0R7D
●★黑基論壇★●  - 全球最大中文黑客社區6f-o4I!s(z
也沒(méi)能幸免)bbs.hackbase.com:K8N'~0Z4F9}
●★黑基論壇★●  - 全球最大中文黑客社區.f1i%M!I3N
死刑現場(chǎng)如下
（4）總結：首先，重重的困難（可能對于高手們來(lái)說(shuō)不算什么，哈哈）誕生了這篇文章。

得到經(jīng)驗教訓如下：★●黑基論壇●★,k'\.].F'z3L&W f

A.進(jìn)程中重要的進(jìn)程名稱(chēng)記住，知道那些是系統進(jìn)程，那些不是。最起碼要熟悉。★●黑基論壇●★'f&M.}$n2w;i-T8I F
  黑基論壇,培訓,動(dòng)畫(huà),教程,攻擊,入侵,掛站,破解,漏洞,掃描,共享,木馬,病毒,跳板,監聽(tīng),嗅探,炸彈,偽裝,拒絕服務(wù),防火墻,殺毒軟件,入侵檢測,身份認證,緩沖溢出,蠕蟲(chóng),安全工具,攻擊程序,加密,解密,外掛,私服,ddos,webshell,sql注入,灰鴿子,冰河,熊貓燒香6C;Z%g)A*i"i"l!f,R%l8Z0t
B.及時(shí)做好備份，我個(gè)人認為注冊表備份最重要。&f0a:z O0x'g R$S'z

C.有困難多找安全模式，哈哈。4?!q#x1['z,q9E
●★黑基論壇★●  - 全球最大中文黑客社區/k)s4O$J(L:W'O:Y
D.心里還是有不少的疑惑，例如那東西是怎么隱藏的那么隱蔽的等等，還望高手不吝賜教。
  E.問(wèn)題攢多了，靈感就來(lái)了，多多思考。

作者: 羊兒要回家 時(shí)間: 2008-12-15 21:37
手動(dòng)清楚有點(diǎn)太麻煩了,瑞星有灰鴿子專(zhuān)殺,要干凈快捷的多!

作者: 莫名氣昂 時(shí)間: 2008-12-15 23:27
是的，清理灰鴿子瑞星不有個(gè)專(zhuān)殺嘛，簡(jiǎn)單了事

作者: 帶風(fēng)去看雪 時(shí)間: 2008-12-16 12:00
提示: 作者被禁止或刪除內容自動(dòng)屏蔽

作者: 帶風(fēng)去看雪 時(shí)間: 2008-12-16 12:01
提示: 作者被禁止或刪除內容自動(dòng)屏蔽

作者: aqjwdn 時(shí)間: 2008-12-16 15:06
標題: 頂一下
頂一下
本文來(lái)自: 中華維修論壇(www.91xiubbs.com) 詳細出處參考：http://www.91xiubbs.com/thread-109616-1-1.html頂一下
本文來(lái)自: 中華維修論壇(www.91xiubbs.com) 詳細出處參考：http://www.91xiubbs.com/thread-109616-1-1.html

作者: 夢(mèng)穎 時(shí)間: 2008-12-16 19:38
不錯，這也可以

作者: 88459824 時(shí)間: 2008-12-17 09:55
呵呵，有趣

作者: tonyxnxu 時(shí)間: 2008-12-19 11:19
提示: 作者被禁止或刪除內容自動(dòng)屏蔽

作者: 994xbhe 時(shí)間: 2009-2-4 15:29
分享一下 ~�。。。。。。�！

作者: momin606 時(shí)間: 2009-2-10 17:29
1# 極目楚天
LZ的帖子不會(huì )是轉自黑基的吧

歡迎光臨 91手機維修論壇 (http://www.jstransmit.com/)

南溪县| 桂平市| 石楼县| 清镇市| 哈巴河县| 阿拉善左旗| 江安县| 盐山县| 克东县| 临邑县| 龙南县| 多伦县| 沿河| 通许县| 三原县| 铁力市| 宣恩县| 漠河县| 青州市| 化州市| 海丰县| 吉首市| 弋阳县| 葫芦岛市| 娱乐| 灌阳县| 彩票| 兰考县| 马公市| 乌拉特后旗| 沙洋县| 当雄县| 紫阳县| 镇宁| 凤山市| 永胜县| 临清市| 通化县| 冷水江市| 甘谷县| 凌源市|

金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

91手機維修論壇

金年会金字招牌诚信至上,金年会金字招牌诚信至上,金年会金字招牌诚信至上,金年会金字招牌诚信至上