1。怎樣才能徹底殺掉Backdoor.Gpigeon灰鴿子?
最有效的是手工刪除!!
1. 下載HijackThis掃描系統
下載地址:
.com/soft/15753.html
zww3008漢化版
c.onlinedown.net/soft/37257.htm
直接把文件的路徑復制到 Killbox裏刪除
通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷
C:\windows\服務名.dll
C:\windows\服務名.exe
C:\windows\服務名.bat
C:\windows\服務名key.dll
C:\windows\服務名_hook.dll
C:\windows\服務名_hook2.dll
舉例說明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox刪除那些木馬文件,由於文件具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的文件不壹定全部存在,如果Killbox提示
文件不存在或已經刪除就沒關系了。
其實就幾個病毒關聯文件。.exe\ .dll\ _hook.dll
2。灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它註冊的服務
項均被隱藏,也就是說妳即使設置了“顯示所有隱藏文件”也看不到它們。此外
,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了壹定的困難
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從
上面的運行原理分析可以看出,無論自定義的服務器端文件名是什麽,壹般都會
在操作系統的安裝目錄下生成壹個以“_hook.dll”結尾的文件。通過這壹點,我
們可以較為準確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作壹定要在安全模
式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前
,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,
選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件
。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,
取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中
選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選
擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了壹個名為
Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操
作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這
兩個文件,同時還有壹個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就
可以進行手動清除。
二、灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下
操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
註意:為防止誤操作,清除前壹定要做好備份。
(壹)、清除灰鴿子的服務
註意清除灰鴿子的服務壹定要在註冊表裏完成,對註冊表不熟悉的網友請找熟悉
的人幫忙操作,清除灰鴿子的服務壹定要先備份註冊表,或者到純DOS下將註冊表
文件更名,然後在去註冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”
,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註
冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊
確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項
名稱是不同的)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有壹個,因此清除更為簡單。運行註冊表編輯器,
打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,
我們立即看到名為Game.exe的壹項,將Game.exe項刪除即可。
(二)、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的
Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算
機。至此,灰鴿子VIP 2005 服務端已經被清除幹凈。
以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數
變種采用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者
可能會加入壹些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來
越大。
三、防止中灰鴿子病毒需要註意的事項
1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、
安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、
MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序
2. 給系統管理員帳戶設置足夠復雜足夠強壯的密碼,最好能是10位以上,字
母+數字+其它符號的組合;也可以禁用/刪除壹些不使用的帳戶
3. 經常更新殺毒軟件(病毒庫),設置允許的可設置為每天定時自動更新。
安裝並合理使用網絡防火墻軟件,網絡防火墻在防病毒過程中也可以起到至關重
要的作用,能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版Windows用戶不
能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網絡防火墻來進行
壹定防護
4. 關閉壹些不需要的服務,條件允許的可關閉沒有必要的***享,也包括C$、
D$等管理***享。完全單機的用戶可直接關閉Server服務。這些都可以用winxp總管
等優化軟件關閉。
WinXP 總管 v4.9.3 中文註冊版
/service/technology/Ravgpk_Download.htm
我也做過壹款客戶端,做過內存免殺,再加殼,什麽殺毒軟件都殺不了(我用過瑞星和卡巴---病毒庫都更新過了。)。不要迷信殺毒軟件
!
最好備份資料重裝系統,以後小心!裝個還原精靈(如Symantec的壹鍵還原精靈,壹般不占用CPU的),或者花點錢買個還原卡,定期還原
為幹凈的系統!
應該是灰鴿子,參照以下方法試試:
灰鴿子2005的特點是“三個隱藏”——隱藏進程、隱藏服務、隱藏病毒文件。灰鴿子2005感染系統後,將自身註冊為系統服務,並在同壹目錄
下生成壹組(3個)隱藏的病毒文件;病毒文件名可變,但有壹定規律。目前為止,我見過的病毒文件均在%WinDir%下;病毒文件名可以是以下
三組之壹:
1、 G_Server.exe,G_Server.dll,G_Server_Hook.dll
2、 IExplorer.exe,IExplorer.dll,,IExplorer_Hook.dll
3、 Winlogon.exe,Winlogon.dll,Winlogon_Hook.dll
病毒文件名的命名規律是:X.exe,X.dll,X_Hook.dll,其中“X”指文件名的變化部分。在WINDOWS模式下,三個病毒文件均為隱藏文件。在
“文件夾選項”的“查看”面板中勾選“顯示系統文件夾內容”、“顯示所有文件及文件夾”兩個選項後,在安全模式下才能看到病毒文件。
清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
註意:為防止誤操作,清除前壹定要做好備份。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作壹定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入
Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點
擊“查看”,取消 “隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“確
定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為
C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下看是否有壹個名為IEXPLORE_Hook.dll(也可能是其他名稱,但基本結構都是_hook.dll
的)的文件。
4、根據灰鴿子原理分析我們知道,如果IEXPLORE_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有IEXPLORE.exe和 IEXPLORE.dll文
件。打開Windows目錄,應該還有壹個用於記錄鍵盤操作的IEXPLOREKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除
灰鴿子的手工清除
壹、清除灰鴿子的服務
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“IEXPLORE.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為
IEXPLORE_Server)。
3、刪除整個IEXPLORE_Server項。
98/me系統:
在9X 下,灰鴿子啟動項只有壹個,因此清除更為簡單。運行註冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run項,我們立即看到名為IEXPLORE.exe的壹項,將IEXPLORE.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的IEXPLORE.exe、IEXPLORE.dll、IEXPLORE_Hook.dll以及
IEXPLORE.dll文件,然後重新啟動計算機。至此,灰鴿子已經被清除幹凈。
回答者:blade_jie - 助理 二級 11-14 13:27
進去下載個清除工具:
/articles/tools/common/2005051322256.shtml
BlackHole&灰鴿子後門專殺工具
/articles/tools/common/2005051322256.shtml
如果專殺工具沒有發現灰鴿子,請參考下面方法手工刪除:
按照下面指導,3步就能徹底刪除系統裏的灰鴿子木馬
1. 下載HijackThis掃描系統:
漢化版
.com/soft/15753.html
2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis選中上面的O23項,然後選擇"修復該項"或"Fix checked"
3. 用Killbox刪除灰鴿子對應的木馬文件 可以從這裏下載Killbox
c.onlinedown.net/soft/37257.htm
直接把文件的路徑復制到 Killbox裏刪除
通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷
C:\windows\服務名.dll
C:\windows\服務名.exe
C:\windows\服務名.bat
C:\windows\服務名key.dll
C:\windows\服務名_hook.dll
C:\windows\服務名_hook2.dll
舉例說明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox刪除那些木馬文件,由於文件具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的文件不壹定全部存在,如果Killbox提示
文件不存在或已經刪除就沒關系了
灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下木馬程序文件和它註冊的服務項均被隱藏,也就是說妳即使設置了“顯示所有隱藏文件”也看不
到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了壹定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的服務器端文件名
是什麽,壹般都會在操作系統的安裝目錄下生成壹個以“_hook.dll”結尾的文件。通過這壹點,我們可以較為準確手工檢測出灰鴿子木馬。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作壹定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入
Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,
點擊“查看”,取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“
確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為
C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了壹個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開
Windows目錄,果然有這兩個文件,同時還有壹個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。另外,如果妳發現了瑞星殺毒軟件查不到的灰
鴿子變種,也歡迎登陸瑞星新病毒上報網站()上傳樣本。
灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序
文件。
註意:為防止誤操作,清除前壹定要做好備份。
壹、清除灰鴿子的服務
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server)
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有壹個,因此清除更為簡單。運行註冊表編輯器,打開
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的壹項,將Game.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然
後重新啟動計算機。至此,灰鴿子已經被清除幹凈。
小結
本文給出了壹個手工檢測和清除灰鴿子的通用方法,適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種采用此種方法無法
檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入壹些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大
。當妳確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時,最好找有經驗的朋友幫忙解決。
同時隨著瑞星殺毒軟件2005版產品發布,殺毒軟件查殺未知病毒的能力得到了進壹步提高。經過瑞星公司研發部門的不斷努力,灰鴿子病毒
可以被安全有效地自動清除,需要用戶手動刪除它的機會也將越來越少