大家知道灰鴿子版本眾多�����,一般用戶主要靠殺毒軟件來進行檢測,目前能夠安裝并且正確升級病毒庫的用戶還是太少。同時,商業版本的殺毒軟件由于各種原因也不被所有網友接受��,好多網友直接就不設防導接入網絡�,導致灰鴿子成為一個多發和高發的木馬。
首先要解決的任務是如何檢測灰鴿子,網絡上介紹的方法眾多�����,俺用了半年多的時間一直幫網友檢測灰鴿子的經歷來談談����,怎么快速檢測灰鴿子。
1�、請下載漢化版hijackthis備用,下載漢化版killbox備用,刪除文件利器
HijackThis v1.99.1 首頁綁架克星
它能夠將綁架您瀏覽器的程序揪出來!并且移除之!或許您只是瀏覽某個網站���、安裝了某個軟件��,就發現瀏覽器設定已經被綁架了,一般常見的綁架方式莫過于強制竄改您的瀏覽器首頁設定�����、搜尋頁設定��,現在有了這個工具�����,可以將所有可疑的程序全抓出來,進行分析。本來它只能看看瀏覽器綁架的問題��,在眾多網友的實踐中發現它還能夠分析的出灰鴿子的大致位置和服務項���。
2��、直接運行hijackthis.exe
a�����、選 以上都不是�����,只是進入啟動程序(進入主界面)
b��、然后點左下角的掃描
c、再掃描出來的界面中直接查找023項目��,就是服務項��,
如果發現有這樣的023項目����,那么恭喜你了,中了灰鴿子
如:
O23 - NT 服務: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:WINDOWSG_Server2.0.exe
O23 - NT 服務: Generic_Save_Server (Fast Double) - Unknown owner - C:WINDOWSGeneric Hoster.exe
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWS1.exe
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSG_Server.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSG_Server.exe
等等,共同特點是在023項����,Gray_Pigeon_Server+Unknown owner +C:WINDOWS(就是直接安裝在系統盤/win下面)
下面俺來談談借助綠色工具,漢化版hijackthis和漢化版killbox來談談手工清楚灰鴿子的經歷,下面手工查殺過程.
實戰一:
O23 - NT 服務: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:WINDOWSRpcSs.exe
根據樓主的描敘(帖主的瑞星報告灰鴿子病毒感染文件C:WINDOWSRpcSs.exe,這是俺第一次實戰查殺灰鴿子的經歷,所有映像特別深)),這是灰鴿子的項,刪除下面的文件后,用hiujackthis修復
下載漢化版killbox(刪除文件利器)
填入完整路徑刪除下面文件��,不放心到安全模式下刪除,(xp建議關閉系統還原,其他包括xp清理所有臨時文件)
如果有的話讓killbox幫樓主強行刪除�����。
C:WINDOWSRpcSs.exe
C:WINDOWSRpcSs.dll
C:WINDOWSRpcSshook.dll
C:WINDOWSRpcSskey.dll
開始→控制面板→性能和維護→管理工具→服務→查找 RpcSo →右擊→屬性→啟動類型→禁止→應用→停止→確定���。
實戰二:
一個網友的hijackthis的掃描結果:
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:WINDOWSG_Server2.0.exe
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:WINDOWSsvchost.exe
回復:
讓killbox幫樓主強行刪除�����。
C:WINDOWSG_Server2.0.exe
C:WINDOWSG_Server2.0.dll
C:WINDOWSG_Server2.0hook.dll
C:WINDOWSG_Server2.0key.dll
C:WINDOWSsvchost.exe
C:WINDOWSsvchost.dll
C:WINDOWSsvchosthook.dll
C:WINDOWSsvchostkey.dll
開始→控制面板→性能和維護→管理工具→服務→查找 Gray_Pigeon_Server2.0 Gray_Pigeon_Svchost→右擊→屬性→啟動類型→禁止→應用→停止→確定�。
還是那網友的掃描報告,一個手工殺死了一個灰鴿子:
殺死一個灰鴿子后的hijackthis的loge,服務未關閉,顯示為(file missing)
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:WINDOWSG_Server2.0.exe (file missing)
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:WINDOWSsvchost.exe
實戰三:
O23 - NT 服務: system - Unknown owner - C:WINDOWSsystem.exe
灰鴿子的服務項����,直接修復��,或控制面板→性能和維護→管理工具→服務→查找 system →右擊→屬性→啟動類型→禁止→應用→停止→確定
下載漢化版killbox(刪除文件利器)�����,進入安全模式,關閉系統還原/情況所有臨時文件���,
用killbox,填入完整路徑刪除下面文件���,如果有的話,讓killbox幫樓主強行刪除�。
C:WINDOWSsystem.exe
C:WINDOWSsystem.dll
C:WINDOWSsystemHook.dll
C:WINDOWSsystemkey.dll
應該變成:
O23 - NT 服務: system - Unknown owner - C:WINDOWSsystem.exe(file missing)
實戰四:
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSGame.exe
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSCaopng.exe
俺的回復: 控制面板→性能和維護→管理工具→服務→查找 Gray_Pigeon_Server Gray_Pigeon_Server →右擊→屬性→啟動類型→禁止→應用→停止→確定
用killbox���,填入完整路徑刪除下面文件�����,如果有的話,讓killbox幫樓主強行刪除����。
C:WINDOWSCaopng.exe
C:WINDOWSCaopng.dll
C:WINDOWSCaopng.exe.Hook.dll
C:WINDOWSCaopng.exe.dll
C:WINDOWSGame.exe.exe
C:WINDOWSGame.exe.dll
C:WINDOWSGame.exehook.dll
C:WINDOWSGame.exe key.dll
實戰五:
O23 - NT 服務: 4444 - Unknown owner - D:Program FilesHgzServer555.exe (file missing)
已經被殺了,還是被卸載了,服務還在,建議關閉它的服務
開始→控制面板→性能和維護→管理工具→服務→查找 4444 →右擊→屬性→啟動類型→禁止→應用→停止→確定�����。
O23 - NT 服務: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - D:WINDOWSsmss.exe
灰鴿子,還是活的,先關閉它的服務: 開始→控制面板→性能和維護→管理工具→服務→查找 Gray_Pigeon_Server2.0 →右擊→屬性→啟動類型→禁止→應用→停止→確定。
然后斷網,關閉系統還原,清空所有臨時文件,安全模式下借助漢化版killbox,填入下面路徑
D:WINDOWSsmss.exe
D:WINDOWSsmss.dll
D:WINDOWSsmss.bat
D:WINDOWSsmsshook.dll
D:WINDOWSsmsskey.dll
(可能有這些文件,讓killbox去判斷)
實戰六:
O23 - NT 服務: Remote Administrator Service (r_server) - Unknown owner - D:WINDOWSsystem32_server.exe" /service (file missing)
開始→控制面板→性能和維護→管理工具→服務→查找 Remote Administrator Service→右擊→屬性→啟動類型→禁止→應用→停止→確定���。
O23 - NT 服務: sys32 - Unknown owner - D:Program FilesHgzServersys32.exe (file missing)
灰鴿子,可能被殺或被卸載,建議關閉這服務, 開始→控制面板→性能和維護→管理工具→服務→查找 sys32 →右擊→屬性→啟動類型→禁止→應用→停止→確定。
這牧馬人也太明目張膽了,直接用灰鴿子的名稱作為文件夾�。
實戰七:
O23 - NT 服務: Jray_Pigeon_Server (JrayPigeonServer) - Unknown owner - C:WINDOWSJ_Server.exe
灰鴿子,先關閉它的服務, 開始→控制面板→性能和維護→管理工具→服務→查找 Jray_Pigeon_Server →右擊→屬性→啟動類型→禁止→應用→停止→確定。
然后手工或借助漢化版killbox強行刪除項目可能有的文件,建議斷網,安全模式下進行:
C:WINDOWSJ_Server.exe
C:WINDOWSJ_Server.dll
C:WINDOWSJ_Serverhook.dll
C:WINDOWSJ_Serverkey.dll
C:WINDOWSJ_Server.bat
實戰八:
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSscvhostgz.exe
灰鴿子, 斷網,安全模式,清空所以臨時文件,關閉系統還原,進行下面操作:
先關閉它的服務, 開始→控制面板→性能和維護→管理工具→服務→查找 Gray_Pigeon_Server→右擊→屬性→啟動類型→禁止→應用→停止→確定�。
可能有下面文件,直接用killbox來解決:
C:WINDOWSscvhostgz.exe
C:WINDOWSscvhostgz.dll
C:WINDOWSscvhostgzhook.dll
C:WINDOWSscvhostgzkey.dll
C:WINDOWSscvhostgz.bat
實戰九:
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSG_Server.exe
建議到安全模式下面操作,先關閉它的服務, 開始→控制面板→性能和維護→管理工具→服務→查找 Gray_Pigeon_Server→右擊→屬性→啟動類型→禁止→應用→停止→確定���。
可能有下面文件,直接用killbox來解決:
C:WINDOWSG_Server.exe.exe
C:WINDOWSG_Server.exe.dll
C:WINDOWSG_Server.exehook.dll
C:WINDOWSG_Server.exekey.dll
C:WINDOWSG_Server.exe.bat
實戰十:
O23 - NT 服務: service - Unknown owner - C:WINDOWSservice.exe (file missing),
灰鴿子�,灰鴿子已經被殺了,建議進行下面操作:
下載漢化版killbox(刪除文件利器)
填入完整路徑刪除下面文件,不放心到安全模式下刪除�����,(xp建議關閉系統還原���,清理所有臨時文件)
C:WINDOWSservice.exe
C:WINDOWSservice.dll
C:WINDOWSservicehook..dll
C:WINDOWSservicekey.dll
C:WINDOWSservice.bat
如果有的話讓killbox幫樓主強行刪除��。
最后:
開始→控制面板→性能和維護→管理工具→服務→查找 service →右擊→屬性→啟動類型→禁止→應用→停止→確定���。
