分享
 
 
 

灰鸽子手工快速检测方法

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

大家知道灰鸽子版本众多,一般用户主要靠杀毒软件来进行检测,目前能够安装并且正确升级病毒库的用户还是太少。同时,商业版本的杀毒软件由于各种原因也不被所有网友接受,好多网友直接就不设防导接入网络,导致灰鸽子成为一个多发和高发的木马。

首先要解决的任务是如何检测灰鸽子,

网络上介绍的方法众多,俺用了半年多的时间一直帮网友检测灰鸽子的经历来谈谈,怎么快速检测灰鸽子。

1、请下载汉化版hijackthis备用,下载汉化版killbox备用,删除文件利器

HijackThis v1.99.1 首页绑架克星

它能够将绑架您浏览器的程序揪出来!并且移除之!或许您只是浏览某个网站、安装了某个软件,就发现浏览器设定已经被绑架了,一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定,现在有了这个工具,可以将所有可疑的程序全抓出来,进行分析。本来它只能看看浏览器绑架的问题,在众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。

2、直接运行hijackthis.exe

a、选 以上都不是,只是进入启动程序(进入主界面)

b、然后点左下角的扫描

c、再扫描出来的界面中直接查找023项目,就是服务项,

如果发现有这样的023项目,那么恭喜你了,中了灰鸽子

如:

O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:/WINDOWS/G_Server2.0.exe

O23 - NT 服务: Generic_Save_Server (Fast Double) - Unknown owner - C:/WINDOWS/Generic Hoster.exe

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/1.exe

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/G_Server.exe

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/G_Server.exe

等等,共同特点是在023项,Gray_Pigeon_Server+Unknown owner +C:/WINDOWS(就是直接安装在系统盘/win下面)

下面俺来谈谈借助绿色工具,汉化版hijackthis和汉化版killbox来谈谈手工清楚灰鸽子的经历,下面手工查杀过程.

实战一:

O23 - NT 服务: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:/WINDOWS/RpcSs.exe

根据楼主的描叙(帖主的瑞星报告灰鸽子病毒感染文件C:/WINDOWS/RpcSs.exe,这是俺第一次实战查杀灰鸽子的经历,所有映像特别深)),这是灰鸽子的项,删除下面的文件后,用hiujackthis修复

下载汉化版killbox(删除文件利器)

填入完整路径删除下面文件,不放心到安全模式下删除,(xp建议关闭系统还原,其他包括xp清理所有临时文件)

如果有的话让killbox帮楼主强行删除。

C:/WINDOWS/RpcSs.exe

C:/WINDOWS/RpcSs.dll

C:/WINDOWS/RpcSshook.dll

C:/WINDOWS/RpcSskey.dll

开始→控制面板→性能和维护→管理工具→服务→查找 RpcSo →右击→属性→启动类型→禁止→应用→停止→确定。

实战二:

一个网友的hijackthis的扫描结果:

O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:/WINDOWS/G_Server2.0.exe

O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:/WINDOWS/svchost.exe

回复:

让killbox帮楼主强行删除。

C:/WINDOWS/G_Server2.0.exe

C:/WINDOWS/G_Server2.0.dll

C:/WINDOWS/G_Server2.0hook.dll

C:/WINDOWS/G_Server2.0key.dll

C:/WINDOWS/svchost.exe

C:/WINDOWS/svchost.dll

C:/WINDOWS/svchosthook.dll

C:/WINDOWS/svchostkey.dll

开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server2.0 Gray_Pigeon_Svchost→右击→属性→启动类型→禁止→应用→停止→确定。

还是那网友的扫描报告,一个手工杀死了一个灰鸽子:

杀死一个灰鸽子后的hijackthis的loge,服务未关闭,显示为(file missing)

O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:/WINDOWS/G_Server2.0.exe (file missing)

O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:/WINDOWS/svchost.exe

实战三:

O23 - NT 服务: system - Unknown owner - C:/WINDOWS/system.exe

灰鸽子的服务项,直接修复,或控制面板→性能和维护→管理工具→服务→查找 system →右击→属性→启动类型→禁止→应用→停止→确定

下载汉化版killbox(删除文件利器),进入安全模式,关闭系统还原/情况所有临时文件,

用killbox,填入完整路径删除下面文件,如果有的话,让killbox帮楼主强行删除。

C:/WINDOWS/system.exe

C:/WINDOWS/system.dll

C:/WINDOWS/systemHook.dll

C:/WINDOWS/systemkey.dll

应该变成:

O23 - NT 服务: system - Unknown owner - C:/WINDOWS/system.exe(file missing)

实战四:

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/Game.exe

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/Caopng.exe

俺的回复: 控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server Gray_Pigeon_Server →右击→属性→启动类型→禁止→应用→停止→确定

用killbox,填入完整路径删除下面文件,如果有的话,让killbox帮楼主强行删除。

C:/WINDOWS/Caopng.exe

C:/WINDOWS/Caopng.dll

C:/WINDOWS/Caopng.exe.Hook.dll

C:/WINDOWS/Caopng.exe.dll

C:/WINDOWS/Game.exe.exe

C:/WINDOWS/Game.exe.dll

C:/WINDOWS/Game.exehook.dll

C:/WINDOWS/Game.exe key.dll

实战五:

O23 - NT 服务: 4444 - Unknown owner - D:/Program Files/HgzServer/555.exe (file missing)

已经被杀了,还是被卸载了,服务还在,建议关闭它的服务

开始→控制面板→性能和维护→管理工具→服务→查找 4444 →右击→属性→启动类型→禁止→应用→停止→确定。

O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - D:/WINDOWS/smss.exe

灰鸽子,还是活的,先关闭它的服务: 开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server2.0 →右击→属性→启动类型→禁止→应用→停止→确定。

然后断网,关闭系统还原,清空所有临时文件,安全模式下借助汉化版killbox,填入下面路径

D:/WINDOWS/smss.exe

D:/WINDOWS/smss.dll

D:/WINDOWS/smss.bat

D:/WINDOWS/smsshook.dll

D:/WINDOWS/smsskey.dll

(可能有这些文件,让killbox去判断)

实战六:

O23 - NT 服务: Remote Administrator Service (r_server) - Unknown owner - D:/WINDOWS/system32/r_server.exe" /service (file missing)

开始→控制面板→性能和维护→管理工具→服务→查找 Remote Administrator Service→右击→属性→启动类型→禁止→应用→停止→确定。

O23 - NT 服务: sys32 - Unknown owner - D:/Program Files/HgzServer/sys32.exe (file missing)

灰鸽子,可能被杀或被卸载,建议关闭这服务, 开始→控制面板→性能和维护→管理工具→服务→查找 sys32 →右击→属性→启动类型→禁止→应用→停止→确定。

这牧马人也太明目张胆了,直接用灰鸽子的名称作为文件夹。

实战七:

O23 - NT 服务: Jray_Pigeon_Server (JrayPigeonServer) - Unknown owner - C:/WINDOWS/J_Server.exe

灰鸽子,先关闭它的服务, 开始→控制面板→性能和维护→管理工具→服务→查找 Jray_Pigeon_Server →右击→属性→启动类型→禁止→应用→停止→确定。

然后手工或借助汉化版killbox强行删除项目可能有的文件,建议断网,安全模式下进行:

C:/WINDOWS/J_Server.exe

C:/WINDOWS/J_Server.dll

C:/WINDOWS/J_Serverhook.dll

C:/WINDOWS/J_Serverkey.dll

C:/WINDOWS/J_Server.bat

实战八:

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/scvhostgz.exe

灰鸽子, 断网,安全模式,清空所以临时文件,关闭系统还原,进行下面操作:

先关闭它的服务, 开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server→右击→属性→启动类型→禁止→应用→停止→确定。

可能有下面文件,直接用killbox来解决:

C:/WINDOWS/scvhostgz.exe

C:/WINDOWS/scvhostgz.dll

C:/WINDOWS/scvhostgzhook.dll

C:/WINDOWS/scvhostgzkey.dll

C:/WINDOWS/scvhostgz.bat

实战九:

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/G_Server.exe

建议到安全模式下面操作,先关闭它的服务, 开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server→右击→属性→启动类型→禁止→应用→停止→确定。

可能有下面文件,直接用killbox来解决:

C:/WINDOWS/G_Server.exe.exe

C:/WINDOWS/G_Server.exe.dll

C:/WINDOWS/G_Server.exehook.dll

C:/WINDOWS/G_Server.exekey.dll

C:/WINDOWS/G_Server.exe.bat

实战十:

O23 - NT 服务: service - Unknown owner - C:/WINDOWS/service.exe (file missing),

灰鸽子,灰鸽子已经被杀了,建议进行下面操作:

下载汉化版killbox(删除文件利器)

填入完整路径删除下面文件,不放心到安全模式下删除,(xp建议关闭系统还原,清理所有临时文件)

C:/WINDOWS/service.exe

C:/WINDOWS/service.dll

C:/WINDOWS/servicehook..dll

C:/WINDOWS/servicekey.dll

C:/WINDOWS/service.bat

如果有的话让killbox帮楼主强行删除。

最后:

开始→控制面板→性能和维护→管理工具→服务→查找 service →右击→属性→启动类型→禁止→应用→停止→确定。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有