扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
你中了灰鸽子《Gray Pigon》,它基于CS模式(客户端服务端)清除有点难。服务端即木马,一般插入Explorer,也有插入IE进程的。杀的时候小心系统崩溃。瑞星有专杀工具。===》http://it.rising.com.cn/service/technology/Ravgpk_Download.htm
我也做过一款客户端,做过内存免杀,再加壳,什么杀毒软件都杀不了(我用过瑞星和卡巴---病毒库都更新过了。)。不要迷信杀毒软件!
http://hotkey.tengyi.cn
最好备份资料重装系统,以后小心!装个还原精灵(如Symantec的一键还原精灵,一般不占用CPU的),或者花点钱买个还原卡,定期还原为干净的系统!
应该是灰鸽子,参照以下方法试试:
灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后,将自身注册为系统服务,并在同一目录下生成一组(3个)隐藏的病毒文件;病毒文件名可变,但有一定规律。目前为止,我见过的病毒文件均在%WinDir%下;病毒文件名可以是以下三组之一:
1、 G_Server.exe,G_Server.dll,G_Server_Hook.dll
2、 IExplorer.exe,IExplorer.dll,,IExplorer_Hook.dll
3、 Winlogon.exe,Winlogon.dll,Winlogon_Hook.dll
病毒文件名的命名规律是:X.exe,X.dll,X_Hook.dll,其中“X”指文件名的变化部分。在WINDOWS模式下,三个病毒文件均为隐藏文件。在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后,在安全模式下才能看到病毒文件。
清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消 “隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下看是否有一个名为IEXPLORE_Hook.dll(也可能是其他名称,但基本结构都是_hook.dll的)的文件。
4、根据灰鸽子原理分析我们知道,如果IEXPLORE_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有IEXPLORE.exe和 IEXPLORE.dll文件。打开Windows目录,应该还有一个用于记录键盘操作的IEXPLOREKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除
灰鸽子的手工清除
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“IEXPLORE.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为IEXPLORE_Server)。
3、删除整个IEXPLORE_Server项。
98/me系统:
在9X 下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run项,我们立即看到名为IEXPLORE.exe的一项,将IEXPLORE.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的IEXPLORE.exe、IEXPLORE.dll、IEXPLORE_Hook.dll以及IEXPLORE.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
回答者:blade_jie - 助理 二级 11-14 13:27
--------------------------------------------------------------------------------
瑞星2005新版杀毒软件可杀。
回答者:lijiangjun - 举人 四级 11-14 22:13
--------------------------------------------------------------------------------
你中的是灰鸽子,麻烦大了。
回答者:HowgoO - 试用期 一级 11-16 09:49
--------------------------------------------------------------------------------
是中了灰鸽子
回答者:sdll木雨人 - 助理 二级 11-16 13:16
--------------------------------------------------------------------------------
进去下载个清除工具:
http://www.f1-auto.com/secound/t ... ckdoor_Gpigeon.html
回答者:XV流量动力 - 高级魔法师 七级 11-16 13:56
--------------------------------------------------------------------------------
灰鸽子 Vip 2005 清除器
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml
BlackHole&灰鸽子后门专杀工具
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml
如果专杀工具没有发现灰鸽子,请参考下面方法手工删除:
按照下面指导,3步就能彻底删除系统里的灰鸽子木马
1. 下载HijackThis扫描系统:
汉化版
http://www.skycn.com/soft/15753.html
2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$Content$nbsp;(SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。