荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: sweetman (*baby*angel), 信区: Virus
标  题: [合集] 求救:怎么杀灰鸽子病毒啊?
发信站: 荔园晨风BBS站 (Sat Apr 29 14:56:28 2006), 站内

☆─────────────────────────────────────☆
   isebelar (兼人) 于  (Tue Apr 25 10:20:57 2006)  提到:

机子中毒,老是隔离不成功,,也查不到原始文件……

谢谢


☆─────────────────────────────────────☆
   youhao (追风的火) 于  (Tue Apr 25 12:32:37 2006)  提到:

更新病毒库,或换个杀软。
删除它应该不难的

【 在 isebelar (兼人) 的大作中提到: 】
: 机子中毒,老是隔离不成功,,也查不到原始文件……
: 谢谢




☆─────────────────────────────────────☆
   sweetman (*baby*angel) 于  (Tue Apr 25 19:41:26 2006)  提到:

是灰鸽子吧。。。

下载专杀,关闭系统还原进入安全模式查杀 如果不行的话 看看下文

灰鸽子的手工检测

    由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均
被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽
子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。

     但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从
上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在
操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们
可以较为准确手工检测出灰鸽子木马。

     由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模
式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前
,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选
择“Safe Mode”或“安全模式”。

    1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。
打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消
“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“
显示所有文件和文件夹”,然后点击“确定”。

 2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选
择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。

3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为
Game_Hook.dll的文件。

 4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操
作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这
两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。

 经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以
进行手动清除。另外,如果你发现了瑞星杀毒软件查不到的灰鸽子变种,也欢迎登
陆瑞星新病毒上报网站(http://up.rising.com.cn)上传样本。

    灰鸽子的手工清除

     经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下
操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。

    注意:为防止误操作,清除前一定要做好备份。

    一、清除灰鸽子的服务

    2000/XP系统:

    1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,
确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册
表项。

    2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击
确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。

3、删除整个Game_Server项。

98/me系统:

 在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,
我们立即看到名为Game.exe的一项,将Game.exe项删除即可。

二、删除灰鸽子程序文件

     删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的
Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机
。至此,灰鸽子已经被清除干净。

    小结

    本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分
灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,
随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,
手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所
述的方法又检测不到时,最好找有经验的朋友帮忙解决。

【 在 isebelar (兼人) 的大作中提到: 】
: 机子中毒,老是隔离不成功,,也查不到原始文件……
: 谢谢




※ 修改:·sweetman 于 Apr 29 14:56:42 修改本文·[FROM: 192.168.85.172]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店