大家知道灰鴿子版本眾多(計(jì)算機(jī)愛好者,學(xué)習(xí)計(jì)算機(jī)基礎(chǔ),電腦入門,請(qǐng)到本站,我站同時(shí)提供計(jì)算機(jī)基礎(chǔ)知識(shí)教程,計(jì)算機(jī)基礎(chǔ)知識(shí)試題供大家學(xué)習(xí)和使用),,一般用戶主要靠殺毒軟件來進(jìn)行檢測(cè),目前能夠安裝并且正確升級(jí)病毒庫的用戶還是太少。同時(shí),商業(yè)版本的殺毒軟件由于各種原因也不被所有網(wǎng)友接受,好多網(wǎng)友直接就不設(shè)防導(dǎo)接入網(wǎng)絡(luò),導(dǎo)致灰鴿子成為一個(gè)多發(fā)和高發(fā)的木馬。
首先要解決的任務(wù)是如何檢測(cè)灰鴿子,網(wǎng)絡(luò)上介紹的方法眾多,俺用了半年多的時(shí)間一直幫網(wǎng)友檢測(cè)灰鴿子的經(jīng)歷來談?wù)劊趺纯焖贆z測(cè)灰鴿子。
1、請(qǐng)下載漢化版hijackthis備用,下載漢化版killbox備用,刪除文件利器
HijackThis v1.99.1 首頁綁架克星
它能夠?qū)⒔壖苣鸀g覽器的程序揪出來!并且移除之!或許您只是瀏覽某個(gè)網(wǎng)站、安裝了某個(gè)軟件,就發(fā)現(xiàn)瀏覽器設(shè)定已經(jīng)被綁架了,一般常見的綁架方式莫過于強(qiáng)制竄改您的瀏覽器首頁設(shè)定、搜尋頁設(shè)定,現(xiàn)在有了這個(gè)工具,可以將所有可疑的程序全抓出來,進(jìn)行分析。本來它只能看看瀏覽器綁架的問題,在眾多網(wǎng)友的實(shí)踐中發(fā)現(xiàn)它還能夠分析的出灰鴿子的大致位置和服務(wù)項(xiàng)。
2、直接運(yùn)行hijackthis.exe
a、選 以上都不是,只是進(jìn)入啟動(dòng)程序(進(jìn)入主界面)
b、然后點(diǎn)左下角的掃描
c、再掃描出來的界面中直接查找023項(xiàng)目,就是服務(wù)項(xiàng),
如果發(fā)現(xiàn)有這樣的023項(xiàng)目,那么恭喜你了,中了灰鴿子
如:
O23 – NT 服務(wù): Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) – Unknown owner – C:WINDOWSG_Server2.0.exe
O23 – NT 服務(wù): Generic_Save_Server (Fast Double) – Unknown owner – C:WINDOWSGeneric Hoster.exe
O23 – NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWS1.exe
O23 – NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWSG_Server.exe
O23 – Service: Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWSG_Server.exe
等等,共同特點(diǎn)是在023項(xiàng),Gray_Pigeon_Server+Unknown owner +C:WINDOWS(就是直接安裝在系統(tǒng)盤/win下面)
下面俺來談?wù)劷柚G色工具,漢化版hijackthis和漢化版killbox來談?wù)勈止で宄银澴拥慕?jīng)歷,下面手工查殺過程.
實(shí)戰(zhàn)一:
O23 – NT 服務(wù): RpcSo (Remote Procedure Call (RPC)) – Unknown owner – C:WINDOWSRpcSs.exe
根據(jù)樓主的描敘(帖主的瑞星報(bào)告灰鴿子病毒感染文件C:WINDOWSRpcSs.exe,這是俺第一次實(shí)戰(zhàn)查殺灰鴿子的經(jīng)歷,所有映像特別深)),這是灰鴿子的項(xiàng),刪除下面的文件后,用hiujackthis修復(fù)
下載漢化版killbox(刪除文件利器)
填入完整路徑刪除下面文件,不放心到安全模式下刪除,(xp建議關(guān)閉系統(tǒng)還原,其他包括xp清理所有臨時(shí)文件)
如果有的話讓killbox幫樓主強(qiáng)行刪除。
C:WINDOWSRpcSs.exe
C:WINDOWSRpcSs.dll
C:WINDOWSRpcSshook.dll
C:WINDOWSRpcSskey.dll
開始→控制面板→性能和維護(hù)→管理工具→服務(wù)→查找 RpcSo →右擊→屬性→啟動(dòng)類型→禁止→應(yīng)用→停止→確定。
實(shí)戰(zhàn)二:
一個(gè)網(wǎng)友的hijackthis的掃描結(jié)果:
O23 – Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) – Unknown owner – C:WINDOWSG_Server2.0.exe
O23 – Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) – Unknown owner – C:WINDOWSsvchost.exe
回復(fù):
讓killbox幫樓主強(qiáng)行刪除。
C:WINDOWSG_Server2.0.exe
C:WINDOWSG_Server2.0.dll
C:WINDOWSG_Server2.0hook.dll
C:WINDOWSG_Server2.0key.dll
C:WINDOWSsvchost.exe
C:WINDOWSsvchost.dll
C:WINDOWSsvchosthook.dll
C:WINDOWSsvchostkey.dll
開始→控制面板→性能和維護(hù)→管理工具→服務(wù)→查找 Gray_Pigeon_Server2.0 Gray_Pigeon_Svchost→右擊→屬性→啟動(dòng)類型→禁止→應(yīng)用→停止→確定。
還是那網(wǎng)友的掃描報(bào)告,一個(gè)手工殺死了一個(gè)灰鴿子:
殺死一個(gè)灰鴿子后的hijackthis的loge,服務(wù)未關(guān)閉,顯示為(file missing)
O23 – Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) – Unknown owner – C:WINDOWSG_Server2.0.exe (file missing)
O23 – Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) – Unknown owner – C:WINDOWSsvchost.exe
實(shí)戰(zhàn)三:
O23 – NT 服務(wù): system – Unknown owner – C:WINDOWSsystem.exe
灰鴿子的服務(wù)項(xiàng),直接修復(fù),或控制面板→性能和維護(hù)→管理工具→服務(wù)→查找 system →右擊→屬性→啟動(dòng)類型→禁止→應(yīng)用→停止→確定
下載漢化版killbox(刪除文件利器),進(jìn)入安全模式,關(guān)閉系統(tǒng)還原/情況所有臨時(shí)文件,
用killbox,填入完整路徑刪除下面文件,如果有的話,讓killbox幫樓主強(qiáng)行刪除。
C:WINDOWSsystem.exe
C:WINDOWSsystem.dll
C:WINDOWSsystemHook.dll
C:WINDOWSsystemkey.dll
應(yīng)該變成:
O23 – NT 服務(wù): system – Unknown owner – C:WINDOWSsystem.exe(file missing)
實(shí)戰(zhàn)四:
O23 – NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWSGame.exe
O23 – NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWSCaopng.exe
俺的回復(fù): 控制面板→性能和維護(hù)→管理工具→服務(wù)→查找 Gray_Pigeon_Server Gray_Pigeon_Server →右擊→屬性→啟動(dòng)類型→禁止→應(yīng)用→停止→確定
用killbox,填入完整路徑刪除下面文件,如果有的話,讓killbox幫樓主強(qiáng)行刪除。
C:WINDOWSCaopng.exe
C:WINDOWSCaopng.dll
C:WINDOWSCaopng.exe.Hook.dll
C:WINDOWSCaopng.exe.dll
C:WINDOWSGame.exe.exe
C:WINDOWSGame.exe.dll
C:WINDOWSGame.exehook.dll
C:WINDOWSGame.exe key.dll
實(shí)戰(zhàn)五:
O23 – NT 服務(wù): 4444 – Unknown owner – D:Program FilesHgzServer555.exe (file missing)
已經(jīng)被殺了,還是被卸載了,服務(wù)還在,建議關(guān)閉它的服務(wù)
開始→控制面板→性能和維護(hù)→管理工具→服務(wù)→查找 4444 →右擊→屬性→啟動(dòng)類型→禁止→應(yīng)用→停止→確定。
O23 – NT 服務(wù): Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) – Unknown owner – D:WINDOWSsmss.exe
灰鴿子,還是活的,先關(guān)閉它的服務(wù): 開始→控制面板→性能和維護(hù)→管理工具→服務(wù)→查找 Gray_Pigeon_Server2.0 →右擊→屬性→啟動(dòng)類型→禁止→應(yīng)用→停止→確定。
然后斷網(wǎng),關(guān)閉系統(tǒng)還原,清空所有臨時(shí)文件,安全模式下借助漢化版killbox,填入下面路徑
D:WINDOWSsmss.exe
D:WINDOWSsmss.dll
D:WINDOWSsmss.bat
D:WINDOWSsmsshook.dll
D:WINDOWSsmsskey.dll
(可能有這些文件,讓killbox去判斷)
實(shí)戰(zhàn)六:
O23 – NT 服務(wù): Remote Administrator Service (r_server) – Unknown owner – D:WINDOWSsystem32r_server.exe” /service (file missing)
開始→控制面板→性能和維護(hù)→管理工具→服務(wù)→查找 Remote Administrator Service→右擊→屬性→啟動(dòng)類型→禁止→應(yīng)用→停止→確定。
O23 – NT 服務(wù): sys32 – Unknown owner – D:Program FilesHgzServersys32.exe (file missing)
灰鴿子
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
