你中的是灰鸽子病毒,病毒的原理和清除方法:
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!
可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
其他后门具有的功能,你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致,非常人性化。整体界面比较清爽,容易上手,对每一个小细节的考虑都很到位,所有能想到的Ideal几乎都实现了。不过黑客的方便,对于广大用户来说可不是好事。
下面介绍服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。
G_Server.exe第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务(服务名称在上面已经配置好了),然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操作)。然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。
G_Server.dll实现后门功能,与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,提供MS-Dos shell,提供代理服务,注册表编辑,启动telnet服务,捕获屏幕,视频监控,音频监控,发送音频,卸载灰鸽子…… 可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,在加上键盘监控,用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密,如“相貌”,“声音”。
G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。攻击者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了"显示所有隐藏文件"也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以"_hook.dll"结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择"Safe Mode"或"安全模式"。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开"我的电脑",选择菜单"工具"—》"文件夹选项",点击"查看",取消"隐藏受保护的操作系统文件"前的对勾,并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹",然后点击"确定"。
2、打开Windows的"搜索文件",文件名称输入"_hook.dll",搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击"开始"-》"运行",输入"Regedit.exe",确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单"编辑"->"查找","查找目标"输入"G_Server.exe",点击确定,我们就可以找到灰鸽子的服务项。
3、删除整个G_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为G_Server.exe的一项,将G_Server.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
清除工具
灰鸽子 Vip 2005 清除器
http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip
BlackHole&灰鸽子后门专杀工具
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml
防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护
4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
. 下载HijackThis扫描系统
下载地址:
http://www.skycn.com/soft/15753.html zww3008汉化版
http://www.merijn.org/files/hijackthis.zip 英文版
2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox
http://yncnc.onlinedown.net/soft/37257.htm
如果想要自己手工查杀该病毒,享受一下杀毒的快感,按以下步骤进行:(建议在高手指导下进行)
1.运行灰鸽子样本,这里以Backdoor/Huigezi.mp为例进行。
2.运行IceSword,(该工具在这个地址下载http://www.xfocus.net/tools/200407/741.html)点击左边的进程按钮,即会出现当前运行的所有进程
灰鸽子进程会启动IE进程来进行通讯,但是IE通常都是隐藏的,但有时候也有不隐藏的,各占一半吧。在IceSword里面隐藏进程都用红色字体进行显示,这时在IE进程的上面点击鼠标右键,会弹出一菜单,选中结束进程就可以了。就结束了灰鸽子与外界通讯的大门.
3.现在要找真正的真凶了,运行上面提到的未知病毒检测工具,检测后结果如图1所示,看到了吗,第2个文件C:\WINDOWS\G_Server.exe就是我们要找的。为什么我要选择这个文件呢?因为它的后缀是exe,那些后缀是dll的文件尽管可以把它们忘掉。记下这个路径(C:\WINDOWS,位于系统盘目录下),后面我们要用到它。(注意:病毒的名称不一定都是G_Server.exe,具体要看实际情况。这里也可以看到,灰鸽子病毒由4个文件组成,对于这个样本来说,分别是G_Server.exe,G_Server.dll,G_ServerKey.dll,G_Server_Hook.dll,KV只能够检测出来那3个dll文件,exe文件没有被检测到,所以这就是灰鸽子杀不死的原因)
4.重新启动计算机,进入安全模式(通常在计算机启动的时候不断按F8键可选择进入安全模式),找到上面检测到的4个文件(还记得我们刚才找到的路径吗?),手工删除即可。
5.距离成功只有一步之遥了,运行注册表编辑器(点屏幕左下角的开始菜单的运行菜单项,会弹出一对话框,在里面输入regedit,然后确定即可),在注册表编辑器里面按F3键,会弹出查找对话框,在里面输入刚才我们找到的名字"G_Server",这里不用输入后缀了,确定即可。我们找到了两项,都在注册表的服务项下面找到后,将该项删除即可。
6.至此,灰鸽子被我们成功清除
杀绝灰鸽子(Trojan.Huigezi)注意:以下清除顺序不可以随意调整。
1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下:
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe
还要注意,如果灰鸽子服务端设置了exe 文件关联的话,将会导致注册表编辑器无法运行,所以在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命令如下:
ren c:\windows\regedit.exe regedit.com
2.删除注册表中启动键
由于我们改了注册表编辑器名称,所以要打开注册表编辑器应为:打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后,依次打开“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Current Version\Run",在右边的窗口中删除名称为”Loadwindows"的键值就可以了。
清除文件关联
灰鸽子可以设置4种文件关联:exe关联,txt关联,ini关联,inf关联,其中exe关联可以和其他三种类型同时存在。
1.解除exe关联:
启动注册表编辑器,然后找到HKEY_CLASSES_ROOT\Exefile\shell\Open\Cpmmand主键,查看起默认的键值是不是系统默认的“%1%*”,如果被修改,则改成默认值.
2.解除txt关联:
打开注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command主键,其默认值的正常参数应该为“C:\windows\notepad.exe%1",如果不是,请修改为正确数据。
3.解除ini关联:
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键下,其默值数据也是“C:\windows\notepad.exe%1”,如果被修改的话,也要改回来。
4解除inf关联:
打开注册表的HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键,和ini,txt文件关联一样,其默认值也是“C:\windows\notepad.exe%1”,如果被修改,也要立刻改回正确的数据。
至此,灰鸽子已经被你扫地出门了,你不再担心成为别人"盘中餐”了。
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!
可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
其他后门具有的功能,你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致,非常人性化。整体界面比较清爽,容易上手,对每一个小细节的考虑都很到位,所有能想到的Ideal几乎都实现了。不过黑客的方便,对于广大用户来说可不是好事。
下面介绍服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。
G_Server.exe第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务(服务名称在上面已经配置好了),然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操作)。然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。
G_Server.dll实现后门功能,与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,提供MS-Dos shell,提供代理服务,注册表编辑,启动telnet服务,捕获屏幕,视频监控,音频监控,发送音频,卸载灰鸽子…… 可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,在加上键盘监控,用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密,如“相貌”,“声音”。
G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。攻击者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了"显示所有隐藏文件"也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以"_hook.dll"结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择"Safe Mode"或"安全模式"。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开"我的电脑",选择菜单"工具"—》"文件夹选项",点击"查看",取消"隐藏受保护的操作系统文件"前的对勾,并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹",然后点击"确定"。
2、打开Windows的"搜索文件",文件名称输入"_hook.dll",搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击"开始"-》"运行",输入"Regedit.exe",确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单"编辑"->"查找","查找目标"输入"G_Server.exe",点击确定,我们就可以找到灰鸽子的服务项。
3、删除整个G_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为G_Server.exe的一项,将G_Server.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
清除工具
灰鸽子 Vip 2005 清除器
http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip
BlackHole&灰鸽子后门专杀工具
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml
防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护
4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
. 下载HijackThis扫描系统
下载地址:
http://www.skycn.com/soft/15753.html zww3008汉化版
http://www.merijn.org/files/hijackthis.zip 英文版
2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox
http://yncnc.onlinedown.net/soft/37257.htm
如果想要自己手工查杀该病毒,享受一下杀毒的快感,按以下步骤进行:(建议在高手指导下进行)
1.运行灰鸽子样本,这里以Backdoor/Huigezi.mp为例进行。
2.运行IceSword,(该工具在这个地址下载http://www.xfocus.net/tools/200407/741.html)点击左边的进程按钮,即会出现当前运行的所有进程
灰鸽子进程会启动IE进程来进行通讯,但是IE通常都是隐藏的,但有时候也有不隐藏的,各占一半吧。在IceSword里面隐藏进程都用红色字体进行显示,这时在IE进程的上面点击鼠标右键,会弹出一菜单,选中结束进程就可以了。就结束了灰鸽子与外界通讯的大门.
3.现在要找真正的真凶了,运行上面提到的未知病毒检测工具,检测后结果如图1所示,看到了吗,第2个文件C:\WINDOWS\G_Server.exe就是我们要找的。为什么我要选择这个文件呢?因为它的后缀是exe,那些后缀是dll的文件尽管可以把它们忘掉。记下这个路径(C:\WINDOWS,位于系统盘目录下),后面我们要用到它。(注意:病毒的名称不一定都是G_Server.exe,具体要看实际情况。这里也可以看到,灰鸽子病毒由4个文件组成,对于这个样本来说,分别是G_Server.exe,G_Server.dll,G_ServerKey.dll,G_Server_Hook.dll,KV只能够检测出来那3个dll文件,exe文件没有被检测到,所以这就是灰鸽子杀不死的原因)
4.重新启动计算机,进入安全模式(通常在计算机启动的时候不断按F8键可选择进入安全模式),找到上面检测到的4个文件(还记得我们刚才找到的路径吗?),手工删除即可。
5.距离成功只有一步之遥了,运行注册表编辑器(点屏幕左下角的开始菜单的运行菜单项,会弹出一对话框,在里面输入regedit,然后确定即可),在注册表编辑器里面按F3键,会弹出查找对话框,在里面输入刚才我们找到的名字"G_Server",这里不用输入后缀了,确定即可。我们找到了两项,都在注册表的服务项下面找到后,将该项删除即可。
6.至此,灰鸽子被我们成功清除
杀绝灰鸽子(Trojan.Huigezi)注意:以下清除顺序不可以随意调整。
1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下:
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe
还要注意,如果灰鸽子服务端设置了exe 文件关联的话,将会导致注册表编辑器无法运行,所以在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命令如下:
ren c:\windows\regedit.exe regedit.com
2.删除注册表中启动键
由于我们改了注册表编辑器名称,所以要打开注册表编辑器应为:打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后,依次打开“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Current Version\Run",在右边的窗口中删除名称为”Loadwindows"的键值就可以了。
清除文件关联
灰鸽子可以设置4种文件关联:exe关联,txt关联,ini关联,inf关联,其中exe关联可以和其他三种类型同时存在。
1.解除exe关联:
启动注册表编辑器,然后找到HKEY_CLASSES_ROOT\Exefile\shell\Open\Cpmmand主键,查看起默认的键值是不是系统默认的“%1%*”,如果被修改,则改成默认值.
2.解除txt关联:
打开注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command主键,其默认值的正常参数应该为“C:\windows\notepad.exe%1",如果不是,请修改为正确数据。
3.解除ini关联:
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键下,其默值数据也是“C:\windows\notepad.exe%1”,如果被修改的话,也要改回来。
4解除inf关联:
打开注册表的HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键,和ini,txt文件关联一样,其默认值也是“C:\windows\notepad.exe%1”,如果被修改,也要立刻改回正确的数据。
至此,灰鸽子已经被你扫地出门了,你不再担心成为别人"盘中餐”了。
参考资料:http://forum.jiangmin.com/dispbbs.asp?boardID=24&ID=409734&page=1
温馨提示:内容为网友见解,仅供参考
第1个回答 2005-12-16
只要能查出来就能杀,所谓杀不了,是因为病毒在运行;正在运行的程序不能修改或删除。
从新启动,按住F8,进入安全模式,用杀毒软件就可以轻松杀毒了。
从新启动,按住F8,进入安全模式,用杀毒软件就可以轻松杀毒了。
一个可恶的病毒
这里也可以看到,灰鸽子病毒由4个文件组成,对于这个样本来说,分别是G_Server.exe,G_Server.dll,G_ServerKey.dll,G_Server_Hook.dll,KV只能够检测出来那3个dll文件,exe文件没有被检测到,所以这就是灰鸽子杀不死的原因) 4.重新启动计算机,进入安全模式(通常在计算机启动的时候不断按F8键可选择进入安全模式),找...
可恶的病毒!怎么彻底清除啊?
最好的办法是把这个病毒的名称复制到互联网找其专杀工具。肯定会有。建议你可以下载个瑞星听诊器在安全模式运行,看看到是什么毒.
我遇到了非常可恶的病毒了!!!急~~有本事的教教我!急!!!十万火急!!_百...
木马是杀不掉的,你知道,象灰鸽子这样的木马都设置了文件关联的,除非你用专杀 还是建议你重新安装系统吧,别再浪费时间了 建议重新安装后使用360+瑞星 瑞星可以下载升级包每天更新
键盘记录器病毒怎么删除?
1,这是一种很可恶的病毒,使用腾讯电脑管家可以将其检测出来并删除掉。2,首先要到电脑管家官网下载一个电脑管家。3,打开电脑管家——杀毒——全盘查杀即可将此病毒查杀掉,键盘记录器其实不是什么大病毒很容易查杀的。4,平常使用电脑最好一直开启腾讯电脑管家,电脑管家的16层实时防护,可以帮助您保护...
史上最臭名昭著的10个电脑病毒都长什么样
1.Windows NT蠕虫:当你的电脑被感染这个可恶的病毒,它会神气活现地在你的屏幕上出现彩色的线条,然后写上一句挑衅的话:你的硬盘该格一下了;2.Stuxnet蠕虫:这个由美国和以色列共同研发出来,首个专门针对工业控制系统编写的病毒破坏了伊朗的离心机系统;3.Melissa病毒:设计出它的电脑工程师用他最爱...
快来看啊,一个可以让你损失1000元的恶意病毒
修电脑的想黑你,小心啊!JS比病毒更可恶。解决方法:1.开机后进入主板的设置(BOIS设置),将主板恢复到出厂设置,一般主板都有这个功能,具体操作需要看哪个芯片的主板才知道,可参照说明书,如果手上没有说明书就上主板的官方网页找找看。2.硬盘如果是中了引导区的病毒就比较麻烦,一般分区和格式化都...
让人很头疼的病毒
保存一下文字为 kill.bat ,然后双击运行它.echo .echo . -例外工作室出品- UnderDead . Danny . All Right Resaved echo .echo .echo 正在查杀 _desktop.ini del c:\\_desktop.ini \/f\/s\/q\/a > 杀毒结果.txt del d:\\_desktop.ini \/f\/s\/q\/a > 杀毒结果.txt del e:\\_desktop.ini \/...
可恶的病毒杀不完!!!???
如果杀不了,是因为病毒在运行;正在运行的程序不能修改或删除的。那就建议你如下处理 重新启动,按住F8,进入安全模式,再从安全模式中启动杀毒软件就可以轻松杀毒了。另外请一定要清理一下你的临时文件夹<建议使用超级兔子清理系统垃圾.更方便> 这是因为有很多病毒主程序隐藏在临时文件夹里面,你杀毒的...
新的磁盘机病毒实在可恶!
病毒传播途径 1.U盘\/移动硬盘\/数码存储卡传播 2.各种木马下载器之间相互传播 3.通过恶意网站下载 4.通过感染文件传播 5.通过内网ARP攻击传播 解决方案 磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒...
电脑中木马病毒
推荐你可以试试腾讯电脑管家,他拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。如果遇到顽固木马,可以进入安全模式杀毒看看。打开腾讯电脑管家——软件管理——搜索【顽固木马克星】建议你在用杀毒软件检测出木马病毒后,第一...
相似回答
