baigoo這個討厭的疑似病毒 KIS當成安全？

[erwin]

用search & destroy找出來的
發現在記憶體當中 連強制關閉都會自己又跑出來
刪也刪不掉
用KIS居然掃不到任何咚咚
用估狗大神找
他算是Adware
在中國大陸好像也是跟3712一樣知名的惡劣軟體
有點難過 信任的KIS 居然沒偵測到
倒是跟RF寶寶這種有用的軟體 相衝突
真希望他趕快改進這些大缺點











&

[esjustin]

將被感染的檔案傳送至Kaspersky就可以了...

[erwin]

指的是他的baigoo.exe這個程式嗎？
他的特性是用三鍵大法關掉又會跑出來
好像還寫入REG內不少地方
當發現時第一時間 當然就拿search & destroy幹掉他
要這個檔案我也沒有了
只是有點無奈的是
search & destroy是免費軟體 也只是靠更新病毒碼查出來
baigoo這種惡劣網頁安裝的軟體也不是一天兩天了
查了一下還小有名氣（無言）
KAV掃瞄一整個快樂無毒
讓人蠻擔心這只是冰山一角

[erwin]

特地上網搜尋了一下baigoo
引用網頁
http://www.kill.com.cn/bnii/bnii_bdjs/3058.htm


间谍软件Baigoo.a




概述
别名
AdWare.Win32.Baigoo.a [Kaspersky], W32/BHO.H!tr.dldr [Fortinet], Win32/Adware.Toolbar.Baigoo application [NOD32],

类别
Adware : 在网页上方或后方的弹出广告的软件，此时主用户界面还不可见，或与产品没有什么关联。

Hijacker: 重新设置您的浏览器，使其指向其他站点的任何软件。 劫持时可能会将您的信息及您请求的地址改变路径发送，使其经由一个不可见的站点，以便捕获那些信息。 在这样的劫持中，您的浏览器可能仍能正常运行，只是稍微慢一些。

发源
发源日期
2006年7月

检测和删除
手工删除
按照以下步骤从您的机器删除Baigoo.a。先备份您的注册表和系统，并设置一个还原点，防止发生错误。
停止运行进程:
利用任务管理器停止以下运行进程：
%program_files%\baigoo\baigoo\bgoomain.exe
bg_ppgoumini.exe
%program_files%\baigoo\mtsrv.exe
%program_files%\baigoo\uninst.exe
%program_files%\baigoo\bgoomain.exe

撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册，然后重启：
%program_files%\baigoo\plugin\bgoobar\bgoobar.dll
%program_files%\baigoo\bgook.dll
%program_files%\baigoo\bgoohk.dll
%program_files%\baigoo\bgooex.dll
%program_files%\baigoo\bgoobho.dll
%program_files%\baigoo\plugin\bgoocos\bgoocos.dll
%system%\rv40.dll
%program_files%\baigoo\baigoo\bgoohk.dll
%program_files%\baigoo\baigoo\bgooex.dll

清除注册表:
使用注册表编辑器清除以下注册项（如果存在）：
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{8465d755-afe0-40ef-bc5e-2290d2c1f31f}

删除文件:
使用资源管理器删除以下文件（如果存在）：
bg_ppgoumini.exe
bgoobar.dll
bgoocos.dll
bgook.dll
bgoosrv.ini
%program_files%\baigoo\baigoo\bgooex.dll
%program_files%\baigoo\baigoo\bgoohk.dll
%program_files%\baigoo\uninst.exe
%system%\rv40.dll
%program_files%\baigoo\bgoomain.exe
%program_files%\baigoo\bgoosrv.ini
%program_files%\baigoo\plugin\bgoobar\bgoobar.dll
%program_files%\baigoo\plugin\bgoobar\plugin.ini
%program_files%\baigoo\plugin\bgoocos\bgoocos.dll
%program_files%\baigoo\plugin\bgoocos\coscfg.ini
%program_files%\baigoo\plugin\bgoocos\plugin.ini
%program_files%\baigoo\plugin\bgoolink\linkcfg.ini
%program_files%\baigoo\baigoo\bgoomain.exe
%program_files%\baigoo\baigoo1.ini
%program_files%\baigoo\baigoo2.ini
%program_files%\baigoo\baigoo3.ini
%program_files%\baigoo\bgoobho.dll
%program_files%\baigoo\bgoocfg.ini
%program_files%\baigoo\bgooex.dll
%program_files%\baigoo\bgoohk.dll
%program_files%\baigoo\bgook.dll
%program_files%\baigoo\mtsrv.exe
%program_files%\baigoo\plugin\bgoobar\band.ini
%program_files%\baigoo\plugin\bgoobar\band1033.ini
%program_files%\baigoo\plugin\bgoobar\band2052.ini

删除目录:
使用资源管理器删除以下目录（如果存在）：
%program_files%\baigoo

调查
文件分析
Baigoo.a


调查方式
间谍软件研究中心

[kaspersky]

根據您提供的這個資料上面就提到了卡巴斯基偵測為
AdWare.Win32.Baigoo.a [Kaspersky]

卡巴斯基在今年 七月 六日 便已經加入病毒資料庫中了
http://www.kaspersky.com/viruswatchl...set=4&x=19&y=2

[bonnae1982]

你打开卡巴斯基　的扩展病毒库了吗？

[ㄚ一]

樓主最近開了些主題..
我懷疑你似乎不會使用KAV/KIS喔...

[erwin]

怪事？難道是有變種？
KIS找不到是事實
所有的選項我都有打開

KAV之前也有討論過 只要被調整時間超過使用期限就失效
是否有這樣的後門程式呢？
希望不是這種情況

建議KAV還是已過期/失效金鑰 則失去殺毒的功能 這樣設計比較好

[esjustin]

怪事？難道是有變種？
KIS找不到是事實
所有的選項我都有打開

KAV之前也有討論過 只要被調整時間超過使用期限就失效
是否有這樣的後門程式呢？
希望不是這種情況

建議KAV還是已過期/失效金鑰 則失去殺毒的功能 這樣設計比較好

將該感染檔案傳送給Kaspersky進行分析...

[email protected]