大家知道灰鸽子版本众多,一般用户主要靠杀毒软件来进行检测,目前能够安装并且正确升级病毒库的用户还是太少。同时,商业版本的杀毒软件由于各种原因也不被所有网友接受,好多网友直接就不设防导接入网络,导致灰鸽子成为一个多发和高发的木马。
首先要解决的任务是如何检测灰鸽子,
网络上介绍的方法众多,俺用了半年多的时间一直帮网友检测灰鸽子的经历来谈谈,怎么快速检测灰鸽子。
1、请下载汉化版hijackthis备用,下载汉化版killbox备用,删除文件利器
HijackThis v1.99.1 首页绑架克星
它能够将绑架您浏览器的程序揪出来!并且移除之!或许您只是浏览某个网站、安装了某个软件,就发现浏览器设定已经被绑架了,一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定,现在有了这个工具,可以将所有可疑的程序全抓出来,进行分析。本来它只能看看浏览器绑架的问题,在众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。
2、直接运行hijackthis.exe
a、选 以上都不是,只是进入启动程序(进入主界面)
b、然后点左下角的扫描
c、再扫描出来的界面中直接查找023项目,就是服务项,
如果发现有这样的023项目,那么恭喜你了,中了灰鸽子
如:
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:/WINDOWS/G_Server2.0.exe
O23 - NT 服务: Generic_Save_Server (Fast Double) - Unknown owner - C:/WINDOWS/Generic Hoster.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/1.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/G_Server.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/G_Server.exe
等等,共同特点是在023项,Gray_Pigeon_Server+Unknown owner +C:/WINDOWS(就是直接安装在系统盘/win下面)
下面俺来谈谈借助绿色工具,汉化版hijackthis和汉化版killbox来谈谈手工清楚灰鸽子的经历,下面手工查杀过程.
实战一:
O23 - NT 服务: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:/WINDOWS/RpcSs.exe
根据楼主的描叙(帖主的瑞星报告灰鸽子病毒感染文件C:/WINDOWS/RpcSs.exe,这是俺第一次实战查杀灰鸽子的经历,所有映像特别深)),这是灰鸽子的项,删除下面的文件后,用hiujackthis修复
下载汉化版killbox(删除文件利器)
填入完整路径删除下面文件,不放心到安全模式下删除,(xp建议关闭系统还原,其他包括xp清理所有临时文件)
如果有的话让killbox帮楼主强行删除。
C:/WINDOWS/RpcSs.exe
C:/WINDOWS/RpcSs.dll
C:/WINDOWS/RpcSshook.dll
C:/WINDOWS/RpcSskey.dll
开始→控制面板→性能和维护→管理工具→服务→查找 RpcSo →右击→属性→启动类型→禁止→应用→停止→确定。
实战二:
一个网友的hijackthis的扫描结果:
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:/WINDOWS/G_Server2.0.exe
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:/WINDOWS/svchost.exe
回复:
让killbox帮楼主强行删除。
C:/WINDOWS/G_Server2.0.exe
C:/WINDOWS/G_Server2.0.dll
C:/WINDOWS/G_Server2.0hook.dll
C:/WINDOWS/G_Server2.0key.dll
C:/WINDOWS/svchost.exe
C:/WINDOWS/svchost.dll
C:/WINDOWS/svchosthook.dll
C:/WINDOWS/svchostkey.dll
开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server2.0 Gray_Pigeon_Svchost→右击→属性→启动类型→禁止→应用→停止→确定。
还是那网友的扫描报告,一个手工杀死了一个灰鸽子:
杀死一个灰鸽子后的hijackthis的loge,服务未关闭,显示为(file missing)
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:/WINDOWS/G_Server2.0.exe (file missing)
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:/WINDOWS/svchost.exe
实战三:
O23 - NT 服务: system - Unknown owner - C:/WINDOWS/system.exe
灰鸽子的服务项,直接修复,或控制面板→性能和维护→管理工具→服务→查找 system →右击→属性→启动类型→禁止→应用→停止→确定
下载汉化版killbox(删除文件利器),进入安全模式,关闭系统还原/情况所有临时文件,
用killbox,填入完整路径删除下面文件,如果有的话,让killbox帮楼主强行删除。
C:/WINDOWS/system.exe
C:/WINDOWS/system.dll
C:/WINDOWS/systemHook.dll
C:/WINDOWS/systemkey.dll
应该变成:
O23 - NT 服务: system - Unknown owner - C:/WINDOWS/system.exe(file missing)
实战四:
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/Game.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/Caopng.exe
俺的回复: 控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server Gray_Pigeon_Server →右击→属性→启动类型→禁止→应用→停止→确定
用killbox,填入完整路径删除下面文件,如果有的话,让killbox帮楼主强行删除。
C:/WINDOWS/Caopng.exe
C:/WINDOWS/Caopng.dll
C:/WINDOWS/Caopng.exe.Hook.dll
C:/WINDOWS/Caopng.exe.dll
C:/WINDOWS/Game.exe.exe
C:/WINDOWS/Game.exe.dll
C:/WINDOWS/Game.exehook.dll
C:/WINDOWS/Game.exe key.dll
实战五:
O23 - NT 服务: 4444 - Unknown owner - D:/Program Files/HgzServer/555.exe (file missing)
已经被杀了,还是被卸载了,服务还在,建议关闭它的服务
开始→控制面板→性能和维护→管理工具→服务→查找 4444 →右击→属性→启动类型→禁止→应用→停止→确定。
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - D:/WINDOWS/smss.exe
灰鸽子,还是活的,先关闭它的服务: 开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server2.0 →右击→属性→启动类型→禁止→应用→停止→确定。
然后断网,关闭系统还原,清空所有临时文件,安全模式下借助汉化版killbox,填入下面路径
D:/WINDOWS/smss.exe
D:/WINDOWS/smss.dll
D:/WINDOWS/smss.bat
D:/WINDOWS/smsshook.dll
D:/WINDOWS/smsskey.dll
(可能有这些文件,让killbox去判断)
实战六:
O23 - NT 服务: Remote Administrator Service (r_server) - Unknown owner - D:/WINDOWS/system32/r_server.exe" /service (file missing)
开始→控制面板→性能和维护→管理工具→服务→查找 Remote Administrator Service→右击→属性→启动类型→禁止→应用→停止→确定。
O23 - NT 服务: sys32 - Unknown owner - D:/Program Files/HgzServer/sys32.exe (file missing)
灰鸽子,可能被杀或被卸载,建议关闭这服务, 开始→控制面板→性能和维护→管理工具→服务→查找 sys32 →右击→属性→启动类型→禁止→应用→停止→确定。
这牧马人也太明目张胆了,直接用灰鸽子的名称作为文件夹。
实战七:
O23 - NT 服务: Jray_Pigeon_Server (JrayPigeonServer) - Unknown owner - C:/WINDOWS/J_Server.exe
灰鸽子,先关闭它的服务, 开始→控制面板→性能和维护→管理工具→服务→查找 Jray_Pigeon_Server →右击→属性→启动类型→禁止→应用→停止→确定。
然后手工或借助汉化版killbox强行删除项目可能有的文件,建议断网,安全模式下进行:
C:/WINDOWS/J_Server.exe
C:/WINDOWS/J_Server.dll
C:/WINDOWS/J_Serverhook.dll
C:/WINDOWS/J_Serverkey.dll
C:/WINDOWS/J_Server.bat
实战八:
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/scvhostgz.exe
灰鸽子, 断网,安全模式,清空所以临时文件,关闭系统还原,进行下面操作:
先关闭它的服务, 开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server→右击→属性→启动类型→禁止→应用→停止→确定。
可能有下面文件,直接用killbox来解决:
C:/WINDOWS/scvhostgz.exe
C:/WINDOWS/scvhostgz.dll
C:/WINDOWS/scvhostgzhook.dll
C:/WINDOWS/scvhostgzkey.dll
C:/WINDOWS/scvhostgz.bat
实战九:
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:/WINDOWS/G_Server.exe
建议到安全模式下面操作,先关闭它的服务, 开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server→右击→属性→启动类型→禁止→应用→停止→确定。
可能有下面文件,直接用killbox来解决:
C:/WINDOWS/G_Server.exe.exe
C:/WINDOWS/G_Server.exe.dll
C:/WINDOWS/G_Server.exehook.dll
C:/WINDOWS/G_Server.exekey.dll
C:/WINDOWS/G_Server.exe.bat
实战十:
O23 - NT 服务: service - Unknown owner - C:/WINDOWS/service.exe (file missing),
灰鸽子,灰鸽子已经被杀了,建议进行下面操作:
下载汉化版killbox(删除文件利器)
填入完整路径删除下面文件,不放心到安全模式下删除,(xp建议关闭系统还原,清理所有临时文件)
C:/WINDOWS/service.exe
C:/WINDOWS/service.dll
C:/WINDOWS/servicehook..dll
C:/WINDOWS/servicekey.dll
C:/WINDOWS/service.bat
如果有的话让killbox帮楼主强行删除。
最后:
开始→控制面板→性能和维护→管理工具→服务→查找 service →右击→属性→启动类型→禁止→应用→停止→确定。