大家知道灰鴿子版本眾多(計算機愛好者,學習計算機基礎,電腦入門,請到本站http://.,我站同時提供計算機基礎知識教程,計算機基礎知識試題供大家學習和使用),,一般用戶主要靠殺毒軟件來進行檢測,目前能夠安裝並且正確升級病毒庫的用戶還是太少。同時,商業版本的殺毒軟件由於各種原因也不被所有網友接受,好多網友直接就不設防導接入網絡,導致灰鴿子成為一個多發和高發的木馬。
首先要解決的任務是如何檢測灰鴿子,網絡上介紹的方法眾多,俺用了半年多的時間一直幫網友檢測灰鴿子的經歷來談談,怎麼快速檢測灰鴿子。
1、請下載漢化版hijackthis備用,下載漢化版killbox備用,刪除文件利器
HijackThis v1.99.1 首頁綁架克星
它能夠將綁架您浏覽器的程序揪出來!並且移除之!或許您只是浏覽某個網站、安裝了某個軟件,就發現浏覽器設定已經被綁架了,一般常見的綁架方式莫過於強制竄改您的浏覽器首頁設定、搜尋頁設定,現在有了這個工具,可以將所有可疑的程序全抓出來,進行分析。本來它只能看看浏覽器綁架的問題,在眾多網友的實踐中發現它還能夠分析的出灰鴿子的大致位置和服務項。
2、直接運行hijackthis.exe
a、選 以上都不是,只是進入啟動程序(進入主界面)
b、然後點左下角的掃描
c、再掃描出來的界面中直接查找023項目,就是服務項,
如果發現有這樣的023項目,那麼恭喜你了,中了灰鴿子
如:
O23 - NT 服務: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - NT 服務: Generic_Save_Server (Fast Double) - Unknown owner - C:\WINDOWS\Generic Hoster.exe
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\1.exe
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
等等,共同特點是在023項,Gray_Pigeon_Server+Unknown owner +C:\WINDOWS(就是直接安裝在系統盤/win下面)
下面俺來談談借助綠色工具,漢化版hijackthis和漢化版killbox來談談手工清楚灰鴿子的經歷,下面手工查殺過程.
實戰一:
O23 - NT 服務: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:\WINDOWS\RpcSs.exe
根據樓主的描敘(帖主的瑞星報告灰鴿子病毒感染文件C:\WINDOWS\RpcSs.exe,這是俺第一次實戰查殺灰鴿子的經歷,所有映像特別深)),這是灰鴿子的項,刪除下面的文件後,用hiujackthis修復
下載漢化版killbox(刪除文件利器)
填入完整路徑刪除下面文件,不放心到安全模式下刪除,(xp建議關閉系統還原,其他包括xp清理所有臨時文件)
如果有的話讓killbox幫樓主強行刪除。
C:\WINDOWS\RpcSs.exe
C:\WINDOWS\RpcSs.dll
C:\WINDOWS\RpcSshook.dll
C:\WINDOWS\RpcSskey.dll
開始→控制面板→性能和維護→管理工具→服務→查找 RpcSo →右擊→屬性→啟動類型→禁止→應用→停止→確定。
實戰二:
一個網友的hijackthis的掃描結果:
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:\WINDOWS\svchost.exe
回復:
讓killbox幫樓主強行刪除。
C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0hook.dll
C:\WINDOWS\G_Server2.0key.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\svchost.dll
C:\WINDOWS\svchosthook.dll
C:\WINDOWS\svchostkey.dll
開始→控制面板→性能和維護→管理工具→服務→查找 Gray_Pigeon_Server2.0 Gray_Pigeon_Svchost→右擊→屬性→啟動類型→禁止→應用→停止→確定。
還是那網友的掃描報告,一個手工殺死了一個灰鴿子:
殺死一個灰鴿子後的hijackthis的loge,服務未關閉,顯示為(file missing)
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe (file missing)
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:\WINDOWS\svchost.exe
實戰三:
O23 - NT 服務: system - Unknown owner - C:\WINDOWS\system.exe
灰鴿子的服務項,直接修復,或控制面板→性能和維護→管理工具→服務→查找 system →右擊→屬性→啟動類型→禁止→應用→停止→確定
下載漢化版killbox(刪除文件利器),進入安全模式,關閉系統還原/情況所有臨時文件,
用killbox,填入完整路徑刪除下面文件,如果有的話,讓killbox幫樓主強行刪除。
C:\WINDOWS\system.exe
C:\WINDOWS\system.dll
C:\WINDOWS\systemHook.dll
C:\WINDOWS\systemkey.dll
應該變成:
O23 - NT 服務: system - Unknown owner - C:\WINDOWS\system.exe(file missing)
實戰四:
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\Game.exe
O23 - NT 服務: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\Caopng.exe
俺的回復: 控制面板→性能和維護→管理工具→服務→查找 Gray_Pigeon_Server Gray_Pigeon_Server →右擊→屬性→啟動類型→禁止→應用→停止→確定
用killbox,填入完整路徑刪除下面文件,如果有的話,讓killbox幫樓主強行刪除。
C:\WINDOWS\Caopng.exe
C:\WINDOWS\Caopng.dll
C:\WINDOWS\Caopng.exe.Hook.dll
C:\WINDOWS\Caopng.exe.dll
C:\WINDOWS\Game.exe.exe
C:\WINDOWS\Game.exe.dll
C:\WINDOWS\Game.exehook.dll
C:\WINDOWS\Game.exe key.dll
實戰五:
O23 - NT 服務: 4444 - Unknown owner - D:\Program Files\HgzServer\555.exe (file missing)
已經被殺了,還是被卸載了,服務還在,建議關閉它的服務
開始→控制面板→性能和維護→管理工具→服務→查找 4444 →右擊→屬性→啟動類型→禁止→應用→停止→確定。
O23 - NT 服務: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - D:\WINDOWS\smss.exe
灰鴿子,還是活的,先關閉它的服務: 開始→控制面板→性能和維護→管理工具→服務→查找 Gray_Pigeon_Server2.0 →右擊→屬性→啟動類型→禁止→應用→停止→確定。
然後斷網,關閉系統還原,清空所有臨時文件,安全模式下借助漢化版killbox,填入下面路徑
D:\WINDOWS\smss.exe
D:\WINDOWS\smss.dll
D:\WINDOWS\smss.bat
D:\WINDOWS\smsshook.dll
D:\WINDOWS\smsskey.dll
(可能有這些文件,讓killbox去判斷)
實戰六:
O23 - NT 服務: Remote Administrator