大家知道灰鸽子版本众多(计算机爱好者,学习计算机基础,电脑入门,请到本站,我站同时提供计算机基础知识教程,计算机基础知识试题供大家学习和使用),,一般用户主要靠杀毒软件来进行检测,目前能够安装并且正确升级病毒库的用户还是太少。同时,商业版本的杀毒软件由于各种原因也不被所有网友接受,好多网友直接就不设防导接入网络,导致灰鸽子成为一个多发和高发的木马。
首先要解决的任务是如何检测灰鸽子,网络上介绍的方法众多,俺用了半年多的时间一直帮网友检测灰鸽子的经历来谈谈,怎么快速检测灰鸽子。
1、请下载汉化版hijackthis备用,下载汉化版killbox备用,删除文件利器
HijackThis v1.99.1 首页绑架克星
它能够将绑架您浏览器的程序揪出来!并且移除之!或许您只是浏览某个网站、安装了某个软件,就发现浏览器设定已经被绑架了,一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定,现在有了这个工具,可以将所有可疑的程序全抓出来,进行分析。本来它只能看看浏览器绑架的问题,在众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。
2、直接运行hijackthis.exe
a、选 以上都不是,只是进入启动程序(进入主界面)
b、然后点左下角的扫描
c、再扫描出来的界面中直接查找023项目,就是服务项,
如果发现有这样的023项目,那么恭喜你了,中了灰鸽子
如:
O23 – NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) – Unknown owner – C:WINDOWSG_Server2.0.exe
O23 – NT 服务: Generic_Save_Server (Fast Double) – Unknown owner – C:WINDOWSGeneric Hoster.exe
O23 – NT 服务: Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWS1.exe
O23 – NT 服务: Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWSG_Server.exe
O23 – Service: Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWSG_Server.exe
等等,共同特点是在023项,Gray_Pigeon_Server+Unknown owner +C:WINDOWS(就是直接安装在系统盘/win下面)
下面俺来谈谈借助绿色工具,汉化版hijackthis和汉化版killbox来谈谈手工清楚灰鸽子的经历,下面手工查杀过程.
实战一:
O23 – NT 服务: RpcSo (Remote Procedure Call (RPC)) – Unknown owner – C:WINDOWSRpcSs.exe
根据楼主的描叙(帖主的瑞星报告灰鸽子病毒感染文件C:WINDOWSRpcSs.exe,这是俺第一次实战查杀灰鸽子的经历,所有映像特别深)),这是灰鸽子的项,删除下面的文件后,用hiujackthis修复
下载汉化版killbox(删除文件利器)
填入完整路径删除下面文件,不放心到安全模式下删除,(xp建议关闭系统还原,其他包括xp清理所有临时文件)
如果有的话让killbox帮楼主强行删除。
C:WINDOWSRpcSs.exe
C:WINDOWSRpcSs.dll
C:WINDOWSRpcSshook.dll
C:WINDOWSRpcSskey.dll
开始→控制面板→性能和维护→管理工具→服务→查找 RpcSo →右击→属性→启动类型→禁止→应用→停止→确定。
实战二:
一个网友的hijackthis的扫描结果:
O23 – Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) – Unknown owner – C:WINDOWSG_Server2.0.exe
O23 – Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) – Unknown owner – C:WINDOWSsvchost.exe
回复:
让killbox帮楼主强行删除。
C:WINDOWSG_Server2.0.exe
C:WINDOWSG_Server2.0.dll
C:WINDOWSG_Server2.0hook.dll
C:WINDOWSG_Server2.0key.dll
C:WINDOWSsvchost.exe
C:WINDOWSsvchost.dll
C:WINDOWSsvchosthook.dll
C:WINDOWSsvchostkey.dll
开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server2.0 Gray_Pigeon_Svchost→右击→属性→启动类型→禁止→应用→停止→确定。
还是那网友的扫描报告,一个手工杀死了一个灰鸽子:
杀死一个灰鸽子后的hijackthis的loge,服务未关闭,显示为(file missing)
O23 – Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) – Unknown owner – C:WINDOWSG_Server2.0.exe (file missing)
O23 – Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) – Unknown owner – C:WINDOWSsvchost.exe
实战三:
O23 – NT 服务: system – Unknown owner – C:WINDOWSsystem.exe
灰鸽子的服务项,直接修复,或控制面板→性能和维护→管理工具→服务→查找 system →右击→属性→启动类型→禁止→应用→停止→确定
下载汉化版killbox(删除文件利器),进入安全模式,关闭系统还原/情况所有临时文件,
用killbox,填入完整路径删除下面文件,如果有的话,让killbox帮楼主强行删除。
C:WINDOWSsystem.exe
C:WINDOWSsystem.dll
C:WINDOWSsystemHook.dll
C:WINDOWSsystemkey.dll
应该变成:
O23 – NT 服务: system – Unknown owner – C:WINDOWSsystem.exe(file missing)
实战四:
O23 – NT 服务: Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWSGame.exe
O23 – NT 服务: Gray_Pigeon_Server (GrayPigeonServer) – Unknown owner – C:WINDOWSCaopng.exe
俺的回复: 控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server Gray_Pigeon_Server →右击→属性→启动类型→禁止→应用→停止→确定
用killbox,填入完整路径删除下面文件,如果有的话,让killbox帮楼主强行删除。
C:WINDOWSCaopng.exe
C:WINDOWSCaopng.dll
C:WINDOWSCaopng.exe.Hook.dll
C:WINDOWSCaopng.exe.dll
C:WINDOWSGame.exe.exe
C:WINDOWSGame.exe.dll
C:WINDOWSGame.exehook.dll
C:WINDOWSGame.exe key.dll
实战五:
O23 – NT 服务: 4444 – Unknown owner – D:Program FilesHgzServer555.exe (file missing)
已经被杀了,还是被卸载了,服务还在,建议关闭它的服务
开始→控制面板→性能和维护→管理工具→服务→查找 4444 →右击→属性→启动类型→禁止→应用→停止→确定。
O23 – NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) – Unknown owner – D:WINDOWSsmss.exe
灰鸽子,还是活的,先关闭它的服务: 开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server2.0 →右击→属性→启动类型→禁止→应用→停止→确定。
然后断网,关闭系统还原,清空所有临时文件,安全模式下借助汉化版killbox,填入下面路径
D:WINDOWSsmss.exe
D:WINDOWSsmss.dll
D:WINDOWSsmss.bat
D:WINDOWSsmsshook.dll
D:WINDOWSsmsskey.dll
(可能有这些文件,让killbox去判断)
实战六:
O23 – NT 服务: Remote Administrator Service (r_server) – Unknown owner – D:WINDOWSsystem32r_server.exe” /service (file missing)
开始→控制面板→性能和维护→管理工具→服务→查找 Remote Administrator Service→右击→属性→启动类型→禁止→应用→停止→确定。
O23 – NT 服务: sys32 – Unknown owner – D:Program FilesHgzServersys32.exe (file missing)
灰鸽子
