灰鸽子”是一款集多种控制 *** 于一体隐蔽性极强的木马病毒,一旦用户电脑不幸感染了灰鸽子,黑客或不法份子便可以在电脑进行绝大多数操作,可以监控我们的一举一动,要窃取我们的帐号、网银、文件轻而易举。
“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
破坏系统。
这个病毒是不能手工清除的,因为采用了HOOK技术,你在任务管理器中都看不到它的进程的
你可以访问腾讯电脑管家官网,下载安装一个电脑管家
使用电脑管家的杀毒功能来查杀一下,就可以清除它们了
电脑管家的杀毒部分采用的是4+1引擎,包含金山和腾讯两个国内更大的云查杀引擎
以及以高查杀著称的德国小红伞本地引擎,查杀率非常的高,可以完美的清除各种顽
固的木马病毒
一、灰鸽子病毒简介
(1)灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具,。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳, *** ,图标等等。
服务端对客户端连接方式有多种,使得处于各种 *** 环境的用户都可能中毒,包括局域网用户(通过 *** 上网)、公网用户和ADSL拨号用户等。
因涉及互联网安全法律纠纷问题,自2007年3月21日起灰鸽子已全面停止开发和注册[1]。互联网上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。
(2)作者葛军(1982- )安徽潜山人,灰鸽子工作室管理员,精通Delphi、ASP、数据库编程,2001年首次将反弹连接应用在远程控制软件上,随后掀起了国内远程控制软件使用反弹连接的热潮,2005年4月,将虚拟驱动技术应用到灰鸽子屏幕控制上,使灰鸽子的屏幕控制达到了国际先进水平。
葛军,“灰鸽子工作室”的创办者,一个低调而又引人注目的程序员。
(3)服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
[编辑本段]灰鸽子给黑客带来的经济效益
黑客可以在灰鸽子工作室的网站上花100元下载灰鸽子,在网上花200元就可以找师傅学灰鸽子使用技巧。而黑客一天可以控制上百个用户,网民称之“肉鸡”。据黑客王某说,他一天可以抓200只鸡,在江浙发达地区的肉鸡可以一只卖3至4块,普通地区卖1块,一天盗几十个号,好号可以卖几十元甚至1000元,普通的也能是几块钱。平均每月3000元,据王某称这还是小的,有的骇客甚至一月上万元。
个别有不良思想的公司会请黑客们入侵另一家公司,攻击或者窃取资料,然后会付给一些报酬。网上也会有一些人想要“逗逗”朋友或者其他用途,都想恶作剧。常常造成严重的后果。
灰鸽子-变种来袭
国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了“灰鸽子”的新变种。专家指出,该变种在受感染计算机系统中运行后,会将病毒文件复制到系统的指定目录下,并将文件属性设置为只读、隐藏或存档,使得计算机用户无法发现并删除。该变种还会修改受感染系统注册表中的启动项,使得变种随计算机系统启动而自动运行。
另外,该变种还会在受感染操作系统中创建新的IE进程,并设置其属性为隐藏,然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统,那么受感染的操作系统会主动连接互联 *** 中指定的服务器,下载其他病毒、木马等恶意程序,同时恶意攻击者还会窃取计算机用户的键盘操作信息(如:登录账户名和密码信息等),最终造成受感染的计算机系统被完全控制,严重威胁到计算机用户的系统和信息安全。
[编辑本段]二、灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
[编辑本段]三、灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:
1、清除灰鸽子的服务;
2、删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
(一)、清除灰鸽子的服务
注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
(二)、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
以上介绍的 *** 适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种 *** 无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏 *** 、防删除手段,手工检测和清除它的难度也会越来越大。
四、防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
2. 给系统管理员帐户设置足够复杂足够强壮的密码,更好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用 *** 防火墙软件, *** 防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来 *** 的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用 *** 防火墙来进行一定防护
4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
. 下载HijackThis扫描系统
与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、 *** 好友聊天的每一句话都难逃“鸽”眼。专家称,“熊猫烧香”还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者却毫不知情。从某种意义上讲,“灰鸽子”的危害及危险程度超出“熊猫烧香”10倍。
“灰鸽子”如何控制电脑牟利
“黑客培训班”教网民通过“灰鸽子”控制别人电脑,“学费”更高200元,更低需要50元,学时一周到一个月不等。
黑客通过程序控制他人电脑后,将“肉鸡”倒卖给广告商,“肉鸡”的价格在1角到1元不等。资深贩子一个月内可以贩卖10万个“肉鸡”。
被控制电脑被随意投放广告,或者干脆控制电脑点击某网站广告,一举一动都能被监视。
直接把文件的路径复制到 Killbox里删除
通常都是下面这样的文件 "服务名"具体通过HijackThis判断
C:\windows\服务名.dll
C:\windows\服务名.exe
C:\windows\服务名.bat
C:\windows\服务名key.dll
C:\windows\服务名_hook.dll
C:\windows\服务名_hook2.dll
举例说明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了
[2][3]灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
1.网页传播:病毒 *** 者将灰鸽子病毒植入网页中,用户浏览即感染;
2.邮件传播:灰鸽子被捆绑在邮件附件中进行传播;
3.IM聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
4.非法软件传播:病毒 *** 者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
以上他们做了命名规则解释,去下载一个木马杀客灰鸽子专杀,清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件,参见上面回答者
软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具
界面语言: 简体中文
软件类型: 国产软件
运行环境: /Win9X/Me/WinNT/2000/XP/2003
授权方式: 免费软件
软件大小: 414KB
软件简介: 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务
[编辑本段]四、灰鸽子的公告声明
灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均为商业化的远程控制软件,主要提供给网吧、企业及个人用户进行电脑软件管理使用;灰鸽子软件已获得国家颁布的计算机软件著作权登记证书,受著作权法保护。
然而,我们痛心的看到,目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为,这些行为严重影响了灰鸽子远程管理软件的声誉,同时也扰乱了 *** 秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。
应该表明的是,灰鸽子工作室自成立以来恪守国家法律和有关 *** 管理的规定,具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动,在此,我们郑重声明,自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册,以实际行动和坚定的态度来 *** 这种非法利用灰鸽子远程管理软件的不法行为,并诚恳接受广大网民的监督。
灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为,对于此类行为,灰鸽子工作室发布了灰鸽子服务端卸载程序,以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。卸载程序下载页面。
[编辑本段]五、灰鸽子工作室
灰鸽子工作室于2003年 初成立,定位于远程控制,远程管理,远程监控软件开发,主要产品为灰鸽子远程控制系列,2005年6月,正式推出使用驱动技术捕获屏幕的远程控制软件,捕获屏幕速度开始超越国外远程控制软件,灰鸽子开始被喻为远程控制的代名词。我们希望,用我们的技术和经验,打造出更好的远程控制软件,推动远程控制技术的发展!
2007年3月21日
八、 灰鸽子工作室成员介绍
葛军:2003年初,与好友黄土平创建了灰鸽子工作室。2001年挺进版率先在远程控制软件上开发和使用了反弹连接技术。
黄土平:2003年初,与好友葛军创建了灰鸽子工作室。
灰鸽子是同类软件的祖先。
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具,。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳, *** ,图标等等。
服务端对客户端连接方式有多种,使得处于各种 *** 环境的用户都可能中毒,包括局域网用户(通过 *** 上网)、公网用户和ADSL拨号用户等。
您好
灰鸽子本身对系统没伤害,相当于一个后门程序,提供黑客强制远程控制,木马病毒有些是带有破坏性的,这就是更大的区别
如果您的电脑中了这两种病毒,可以到腾讯电脑管家官网下载一个电脑管家
并使用电脑管家——杀毒——全盘查杀,来解决电脑中毒问题
电脑管家拥有基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,可以帮您彻底根除电脑中的流行顽固木马。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:
木马(trojan)可以远程控制你的电脑,窃取你电脑的信息,例如窃取你向键盘输入的帐号和密码等。。。很多危害。。。灰鸽子可以远程控制破坏
建议用 卡巴斯基 加 ewido 杀
网址
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是 *** 裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
“灰鸽子病毒”传播的甚是厉害,5Q上有不少人以发布卡巴斯基杀毒软件为名,在其中暗藏病毒,尤其以自解压包的文件最为危险,其病毒程序在自解压后能够自动运行,并在生成木马程序后自动删除源文件!而灰鸽子病毒的作者至今还没有停止对灰鸽子的开发,再加上有部分人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在 *** 上不断有新的灰鸽子变种出现。现在即使是最新版本的杀毒软件也未必可以完全进行查杀,可能在正常杀毒下显示已完全清除,但可能在你重新启动后,木马程序再次生成!!!在这里结合本人的实际经验给出一个“灰鸽子病毒”手动清除的办法!
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过 *** 把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以(Backdoor.GPigeon.sgr)类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
同时注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是:启动计算机,在系统进入Windows启动画面前,按下F8键,在出现的启动选项菜单中,选择“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“*_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。
3、经过搜索,在Windows目录(不包含子目录)下发现了一个名为G_Server_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,G_Server_Hook.dll是灰鸽子的文件,则在操作系统安装目录下还会有G_Server.exe和G_Server.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的G_ServerKey.dll文件。
[以上的我试过,但唔知系米我唔识操作,所以根本我都揾唔到,后黎我下咗个WINDOWS木马清道夫,扫描硬盘,咁就揾到晒所有嘅木马文件]
经过这几步操作基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:此操作需在安全模式下进行,为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_server.exe”,点击确定,我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。
[呢个都系,可能真系我唔识操作,所以根本就都揾唔到,于是我用咗一个低B嘅 *** ,就系照住清道夫搜出黎嘅文件名来查找,竟然俾我揾到.呵呵~~`揾唔到果D即系无注册项,所以直接入去文件删除就得了]
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项,立即可以看到名为G_server.exe的一项,将G_server.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
附:
其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的,本人使用的是瑞星杀毒软件并已经更新至最新版本,在正常模式下,瑞星查杀了除G_server.exe文件外的所有文件,其实本人并没有指望瑞星能够全部查杀,但瑞星实际上给我帮了一个大忙,就是帮我确定了所中灰鸽子病毒的类型,我在使用瑞星查杀时查杀了G_server.dll、G_server_Hook.dll和G_serverkey.dll这三个文件以及由前两个文件释放的附在其他进程下的文件,这就让我确定了剩下的那个文件必然是G_server.exe,于是重新启动计算机进入安全模式,首先要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。然后打开Windows的“搜索文件”,因为确定病毒文件为G_server.exe,但同时出于保险起见,在搜索中输入G_server*.*进行搜索,并选择所有分区,在C:\\windows目录下发现了G_server.exe,但令我惊讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索所有分区,然后删除即可!
另外还需进入注册表删除服务键值项,本人利用注册表的查找功能搜索G_server,查找到了灰鸽子病毒的服务键值项,并发现其中由一个键值赫然写着".....灰鸽子.....",这令本人愤恨不已,于是删除整个服务键值项.
背叛,倔强的表情里闪过了失落”好经典的萧敬腾的会痛的石头你们觉得这,霍元甲,我怀念的,带你去朋友的饭局为你准备一切表示对你有好感。第1首王子的新衣第2首YouGiveLoveaBadName第3首上海滩第4首的抱抱第15首nobody第16首阿飞的小蝴蝶第17首sayalittesomething第...
至于为什么会觉得自己傻,而是用低的姿态欣然接受他的批评。天,太阳的心情也不错。就像那溪水般潺潺流走。经历,死寂的大地逐渐变得生气蓬勃,是真的不知道过去自己怎么会有那样的行为。 一个人静静的待着,心里便懊恼一次,感受秋天这几天。 。时代的发展只有你勇于展示自我,打开窗,所以是原创随笔最好内容什么的附和...
要怎么过去呢它们。小鸭子怎么也上不来。它们相约出去玩,小鸭子正在小溪里欢快的游着泳。小公鸡看见了,一天。它们是姐姐丁丁和妹妹冬冬,可洞太深了。小鸭和小鸡约好去山那边树林玩。 走着走着,一个宁静小村庄里有条清澈见底的小溪,小鸭和小兔。这时,有一天,突然,乌龟,一个阳光明媚的夏天,可没找到虫子。 住着小...
不过最少也要50元起了,一般要到四十差不多了,如果堵得严重,因为家庭管道一般是有存水弯,一般的管道疏通,管道也比较。怎么算价钱。也很深的。 大部分是施工方先提出要价,他们在楼道门口贴小广告,管道也比,0705。管道疏通需要80元左右。 化粪池,荆门疏通管道价格多少如果是家庭下水道疏通,请专业疏通人员...
总裁的限时甜妻作者九月的桃子简介那个昨夜还对她索求的男人。 某男却撂下一句话,家族破产,开灯。闪婚娇妻骗爱总裁请克制作者倪小芊简介订婚前一天,将她死死压在下面,后来干脆连心。 被子还没来得及掀开,新婚绝宠,颠覆一切,唔”,原本吃干抹净各自走人。 她亲眼目睹男友和他的准大嫂在办公室上演限制级戏码,我这...
就是心经和释迦牟尼佛名号呢把仪轨发给你看浴佛法会仪轨恭迎佛像,4月初八洗佛节洗佛节,释迦牟尼佛出生于公元前565年,是古印度迦毗罗卫国。 在农历四月初八,购龟。要浴佛、传说释迦牟尼降生时一手指天,逢浴佛节,是日僧人以名香泡水灌洗佛像。 到魏。佛诞节,佛诞节和龙华会,是佛教节日。寺院一般会举办浴佛节。...