arrived in用法:我的电脑每隔几分钟就会自动生成一个graybird,名字叫system.exe.NEW.我用的是赛门铁克,杀了它再生,怎么办?

来源：百度文库编辑：杭州交通信息网时间：2024/05/09 03:48:44

我的电脑每隔几分钟就会自动生成一个graybird,名字叫system.exe.NEW.我用的是赛门铁克,杀了它再生,怎么办?

此病毒启动后将自己安装到到system目录下并起名为msgme32.exe
修改注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在其中添加一项msgme32.
修改win.ini中的run项使病毒文件msgme32.exe在系统启动时启动.此病毒启动后再后台隐藏运行并开两个TCP
端口和一个UDP端口进行监听.
所以你把system目录下的msgme32.exe删除了才是
应该不能直接删除
建议使用Killbox删除
killbox下载地址：
http://fsdown2.it.com.cn/39944//software/firewall/antivirus/20052/IT_ha-killbox20017.rar

KillBox 实质是一个删除任意文件的利器，它不管这个文件是EXE还是DLL等其它文件，也不管这个文件是正在运行中，还是被系统调用了，KillBox 都可以简单几步就将文件删除。正因如此，KillBox 在反病毒方面使用非常之棒。现时流行类病毒（蠕虫、木马）很多均为单独的病毒文件，与系统无关，可以安全删除此类病毒文件。但在删除过程，由于病毒的狡滑，总是很难删除，这连国际知名安全软件产商也推荐在安全模式杀毒。有了 KillBox ，一切变得简单多了

Backdoor.GrayBird.ad （灰鸽子）服务端运行后会打开后门端口，等待攻击者的远程控制。如果服务端采用自动上线配置，通过生成服务端时设定的 URL ，主动连接到远程攻击者接受控制，因为其利用 “ 反弹端口原理 ” ，所以可穿过某些防火墙。
攻击者连接成功后便可监控服务端屏幕，截获 oicq,icq, 及网络游戏，邮箱，上网账号等敏感信息，并且具有读写文件，修改注册表功能，同时还可在服务端开启 Socks5 及 FTP 服务，是一种危险性较高的木马。
行为描述：
拷贝服务端到系统，路径可能为 %System%, %Windows%, %temp% ，服务端名称可能为GrayPigeon.exe, GrayPigeon.bat, GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
向注册表添加键值，随系统启动：
如果是 NT 系统，将向如下 3 个启动项中添加键值：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
如果是 win9x 系统，将向 win.ini 中添加键值。
在随机端口开设后门，等待攻击者远程连接。
你可以去下个最新的MCAFEE来杀掉它，MCAFEE是灰鸽子的克星！

手动修改：
1.若是98/me,重启进安全模式，若是2000/xp,用任务管理器结束Svch0st.exe进程。
2.运行杀毒软件进行全面扫描
3.删除以下键值：
1）
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
下的
\"svchost\"=\"%System%\\Svch0st.exe\"
\"winlogon\"=\"%System%\\Winlogon.exe\"
\"system\"=\"%System%\\Explorer.exe\"
2）（对于Windows NT/2000/XP）
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
下的
\"run\"=\"%system%\\svch0st.EXE\"

对于Windows NT/2000/XP，至此一切OK！

4.（对于Windows98/Me）
1）（仅对于Me）
删除C:\\Windows\\Recent folder文件夹下的Win.ini文件
2）开始－运行，edit c:\\windows\\win.ini，
在[windows]区域中，找到类似
run=C:\\WINDOWS\\SYSTEM\\SVCH0ST.EXE 的一项，删除之，保存退出。

去下载一个hijackthis，手动删除。彻底些。

试试进安全模式杀一下，在安全模式中会不加载很多程序，如果还是同样状况，估计病毒已经感染你的系统关键进程了，重装下吧，最保险~

打开运行，进入msconfig，选择服务那一栏，把隐藏所有microsoft服务勾上，出现几个未知制造商的服务，把勾去掉重启就可以了。

这样只是阻止该文件运行，文件还是残留在电脑里，建议用杀马软件，一杀搞定。

我的电脑每隔几分钟就会自动生成一个graybird,名字叫system.exe.NEW.我用的是赛门铁克,杀了它再生,怎么办? 我的电脑每隔几分钟就自动弹出一个网页,不上网时也会这样,怎么办? 我的电脑每隔几分钟就自动弹出一个网页\不上网时也会这样,怎么办? 急求:我的电脑每隔几分钟就会出现一个错误报告要我点发不发送我的浏览器打开后，每隔几分钟就自动弹出一个网页，请问怎么解决？我的电脑怎么每隔几分钟就自动弹出页面啊？我的电脑每隔几分钟就会出现一个对话框，显示inexploer出现问题，需要关闭电脑中病毒了，每隔几分钟就会自动弹出一个网页，重启了后还是这样。怎么办？电脑每隔几分钟就会自动重启怎么回事呀电脑每隔几分钟就自动重起