灰鸽子的快速手工检测 |
| |
| 发布时间:2007-4-21 |
大家知道灰鸽子版本众多,一般用户靠杀毒软件进行检测,当前能够安装并且正确升级病毒库的用户还是太少了,同时,商业版本的杀毒软件也不被所有网友接受,好多网友直接就不设防导接入网络,导致灰鸽子成为一个多发和高发的木马。
首先要解决的任务是如何检测灰鸽子,网络上介绍的方法众多,俺用了半年多的时间一直帮网友检测灰鸽子的经历来谈谈,怎么快速检测灰鸽子。
1、请下载汉化版hijackthis备用。
HijackThis v1.99.1 首页绑架克星
它能够将绑架您浏览器的程序揪出来!并且移除之!或许您只是浏览某个网站、安装了某个软件,就发现浏览器设定已经被绑架了,一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定,现在有了这个工具,可以将所有可疑的程序全抓出来,进行分析。本来它只能看看浏览器绑架的问题,再众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。
2、直接运行hijackthis.exe
a、选 以上都不是,只是进入启动程序(进入主界面)
b、然后点左下角的扫描
c、再扫描出来的界面中直接查找023项目,就是服务项,
如果发现有这样的023项目,那么恭喜你了,中了灰鸽子
如:
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - NT 服务: Generic_Save_Server (Fast Double) - Unknown owner - C:\WINDOWS\Generic Hoster.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\1.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
.
.
.
等等,共同特点是再023项,Gray_Pigeon_Server+Unknown owner +C:\WINDOWS(就是直接安装在系统盘/win下面)
xp关闭灰鸽子服务方法:
如:
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
控制面板/性能和维护/管理工具/服务/查找 Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) 右击/属性/启动类型/禁止/应用/停止/确定。
灰鸽子文件删除方法:
重启到安全模式下面,显示所有文件,删除下面可能有的文件:(也可以借助汉化版killbox,删除文件利器删除;IceSword冰刃删除也可以;其他删除文件一样)
C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0key.dll
C:\WINDOWS\G_Server2.0hook.dll
2000关闭灰鸽子服务方法:
如:
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINNT\G_Server2.0.exe
控制面板/管理工具/服务 /查找 Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) 右击→属性/启动类型/禁止/应用/停止/确定。
灰鸽子文件删除方法:
重启到安全模式下面,显示所有文件,删除下面可能有的文件:(也可以借助汉化版killbox,删除文件利器删除;IceSword冰刃删除也可以;其他删除文件一样)
C:\WINNT\G_Server2.0.exe
C:\WINNT\G_Server2.0.dll
C:\WINNT\G_Server2.0hook.dll
C:\WINNT\G_Server2.0key.dll
如果exe,txt文件关联被修改,建议网上搜索注册表关键值修复工具:regfix或杀毒软件厂家的注册表清理工具修复,百信源/金山/瑞星的注册表修复工具都可以,当然第三方软件只要带文件关联修复功能的也可以:如 绿鹰万能精灵,反黑精英等。也可以网上搜索文件关联修复方法,这里俺就不多说了。
有关工具请参考下面帖子:
http://www.54master.com/bbs/cgi- ... ic=19721&show=0
贴子主题: [注意]关于hijackthis汉化版带毒的问题
[/watermark]
--------------------------------------------------------------------------------
作者: 红桃jacker 时间: 2005-11-6 00:39 标题: [原创]灰鸽子的快速手工检测
LBHIDDEN[0]LBHIDDEN[这个贴子最后由红桃jacker在 2005/11/19 07:37pm 第 1 次编辑]
O23 - NT 服务: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:\WINDOWS\RpcSs.exe
根据楼主的描叙,这是灰鸽子的项,删除下面的文件后,用hiujackthis修复
汉化版killbox(删除文件利器)
填入完整路径删除下面文件,不放心到安全模式下删除,(xp建议关闭系统还原,其他包括xp清理所有临时文件)
如果有的话让killbox帮楼主强行删除。
C:\WINDOWS\RpcSs.exe
C:\WINDOWS\RpcSs.dll
C:\WINDOWS\RpcSshook.dll
C:\WINDOWS\RpcSskey.dll
最后修复023项目.其他灰鸽子一样可以参考进行清除 |
| [关闭窗口]
[打印本页] |
|
 |
本栏推荐 |
|
