设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
中问网首页
我的收藏
站长博客
搜索
搜索
本版
帖子
用户
第一问答网
»
论坛
›
中问网
›
问答
›
鸽子病毒杀不掉!
返回列表
发新帖
鸽子病毒杀不掉!
[复制链接]
11
|
2
|
2006-7-1 21:56:15
|
显示全部楼层
|
阅读模式
灰鸽子2005病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。 手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而,由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。 其实,灰鸽子2005有一个弱点,可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:\WINDOWS\spoolvs.exe)。(注:NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。) 因此,建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作: 1、用HijackThis1.99.1(本帖附件中的一个小工具)扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。 2、确认灰鸽子2005注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。 3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:\WINDOWS\spoolvs.exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子2005后,在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息,那么,这个日志提示:这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:\WINDOWS\文件夹中。 附:HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名(供手工杀毒参考) O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe 023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe 灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。 手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。 灰鸽子的运行原理 灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。 灰鸽子的手工检测 由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。 由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。 2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。 3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。 4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。 经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。 灰鸽子的手工清除 经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。 注意:为防止误操作,清除前一定要做好备份。 一、清除灰鸽子的服务 2000/XP系统: 1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。 3、删除整个Game_Server项。 98/me系统: 在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。 二、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。 小结 本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。 同时随着瑞星杀毒软件2005版产品发布,杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力,灰鸽子病毒可以被安全有效地自动清除,需要用户手动删除它的机会也将越来越少。 病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
回复
使用道具
举报
千问
|
2006-7-1 21:56:15
|
显示全部楼层
用这个试试:瑞星“灰鸽子”专用检测清除工具http://it.rising.com.cn/service/technology/Ravgpk_Download1.htm
回复
使用道具
举报
千问
|
2006-7-1 21:56:15
|
显示全部楼层
从开始的启动中输入msconfig,去掉不需要的启动项和服务即可,用杀毒软件和木马专杀工具查杀就可以了
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
千问
主题
0
回帖
4882万
积分
论坛元老
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
积分
48824836
加好友
发消息
回复楼主
返回列表
问答
热门排行
1
1962年阴历12月25号是多少
2
求:[SJ四周年&唯爱SJ13两周年]SBS.人体探险队【精美特效】EP8、9、10
3
行货笔记本保修期过了以后,是不是跟水货一样了呢?
4
嘉兴宾馆,嘉兴宾馆预订,嘉兴宾馆分布
5
日立笔记本显卡驱动安装问题
6
读卡器是不是有最大能读出多少G的?有限界的吗?
7
性格色彩红蓝配分析,求高手
8
摩托罗拉a810总是提示内存卡设为只读是什么意思
9
青岛理工大学附近干净的旅馆
10
是不是女人都想快点把自己嫁出去
11
毕业想从培训助理做起,有经验的前辈给点经验。
12
深圳上横朗到腾龙花园怎么走
13
世博心语传递怎么参加
14
无冬之夜2汉化怎么安装,提示安装目录不正确
15
vb 程序设计
16
五虎将后传3.04神xs升级第六版作弊用了怎么出不来?
17
谁知道什么网站上卖的女士休闲服、女士T恤比较好啊?
18
办信用卡的问题怎么好办
19
包皮手术术后吸收线问题
20
找可以学习英语的电影
21
急性阑尾炎食疗
22
数学因式分解
23
这个公司是否是皮包公司
24
我的狗生病了,全身发痒,发红。好象是螨虫,有什么特效药吗?
25
双击图标出现打开方式
26
中医看病如何选择
27
X41T相关问题(手写系统|Linux兼容|基本性能)
28
笔记本电脑开机密码忘了
29
摩托车怎样停车不容易息火!
30
2010会计10自考本科的科目内容
31
西华师范大学华风校区邮寄的包裹领取处电话号码
32
魔兽世界私服牛头人战士天赋加点
33
公司在深圳,香港交货是什么意思?
34
在VISTA系统下安装上古卷轴4起源版,提示找不到‘Oblivion DISC’,怎么办啊?
35
生产四轮滑板的压胶木板有哪些厂家
36
兔子容易感染的病毒有那些?
37
陈醋与白醋的 区别
38
鸽子病了,不会自己吃东西,毛松松的,粪便里有一丝丝白色的东西,脚趾浮肿,趴着睡觉
39
要搬家了,哪里有大一些的旅行箱,便宜的
40
她在为我着想吗,她说她一无是处,她让我放弃,她很现实她很成熟
41
葫芦岛明都歌厅的酒怎么算钱啊
42
组织单元名称是什么意思
43
一道化学问题
44
如何在论坛资料中加QQ在线一栏
45
是不是SPF值越高对皮肤就越好
46
摄影艺名
47
安徽精诚铜业待遇怎样?本科生!!!!!!机械的
48
天龙八部2哪里出没梆的新莽神符
49
google地图上为什么看不到格林兰岛全貌
50
De315、De400、De500UPVC双壁波纹管管壁厚多少
51
为什么只要打开影音网络就会掉线,电影却还能继续
52
夏天适合用什么样的BB霜
53
网络的的坏处
54
帮我把这段话翻译成英文的吧、谢谢啦!
55
ARM汇编语言写一个程序段,实现判断R1的值是否小于0x30,是则将R1加上0x30
56
请教SDHC卡上的触点有痕迹了可以用橡皮擦吗~
57
求诛仙所有能加星戒指的属性
58
windows7 outlook express
59
Basic 外观怎样切换到Windows Vista Aero 界面?
60
我怎么在农行办的K宝还收50元,我在民生银行办的就不收费
61
2004.12.04,东方神起获得了MKMF年度最佳新人MV奖 视频
62
vps好还是独立服务器好?
63
需要一个外部定时器,跟三菱PLC 能够匹配?
64
食品专业和制药专业哪个就业前景好
65
我有个CMD的东西能听音乐 照相的东西不知道怎么用
66
急需路易威登2009年财务报表
67
扬州哪里卖多普达手机
68
甲乙两人相约见面,并约定第一人到达后,等15分钟不见第二人来就可以离去。假如他们
69
什么地方能看三国全集
70
想练瑜珈 关于瑜伽服、瑜伽垫、瑜伽砖、瑜伽球应该怎么选择?
71
请问纯地税的企业,报地税时,如何在网上填表
72
华夏行业基金 为什么停止申购
73
求孔子电影地址
74
设置USB启动显示boot error什么意思
75
中铁哪个局招聘实习生 谢谢大家
76
红油剪饼好好吃,可是就是不知道哪里可以学到那个技术
77
减肥期:吃什么零食可以不发胖?
78
玉米面馒头咋做
79
弱则生柔则存与天行健相矛盾?
80
关于赛尔号查斯的问题
81
石家庄市人才市场电话
82
诺基亚7210C软件出问题了,过了保修期,怎么升级
83
黄易群侠传40级为什么接不了夺回衣物任务?
84
广州到东莞市东坑镇鸿威工业园要坐什么车好
85
请问关于迁户口的问题?
86
周口哪里做超市货架
87
谁知道蒙牛酸酸乳音乐梦想学院金华赛区什么时候开始。
88
如何根据锅炉类型选择除尘器
89
淘宝卖家快递包装,
90
灯具生产详细流程
91
深圳宝安哪里有学插花便宜一点的地方
92
瑜伽服,去哪买比较好啊
93
梅捷61跟致铭61哪个 好
94
为什么笔记本的注册表该了魔兽争霸会自己还原啊?
95
现在买M8是什么版本的固件
96
英语音标blind [英] [blaind]
97
比如学的是法律的专业 考研的话可不可以考经济学的(在校期间有自己自学点经济方面的)
98
我感到很不开心 ,很失落
99
怎么判断第二天开盘的涨与跌
100
不知道哪里可以买到巧克力喷泉机,那个网址是多少