求助这是什么电脑病毒C:WINDOWS
灰鸽子木马分两部分:客户端和服务端。攻击者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认G_Server。exe
。G_Server。exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server。 dll和G_Server_Hook。dll到windows目录下。
G_Server。exe、G_Server。dll和G_Server_Hook。dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为
G_ServerKey。 dll的文件用来记录键盘...全部
灰鸽子木马分两部分:客户端和服务端。攻击者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认G_Server。exe
。G_Server。exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server。
dll和G_Server_Hook。dll到windows目录下。
G_Server。exe、G_Server。dll和G_Server_Hook。dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为
G_ServerKey。
dll的文件用来记录键盘操作。
注意,G_Server。exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为ABC。exe时,生成的文件就是ABC。exe、ABC。dll和
ABC_Hook。
dll。
Windows目录下的G_Server。exe文件将自己注册成服务(9X系统是写注册表启动项),每次开机都能自动运行,运行后启动G_Server。dll和G_Server_Hook。
dll并自动退出。G_Server。dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook。dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。
随着灰鸽子服务端文件的设置不同,G_Server_Hook。dll有时候附在Explorer。exe的进程空间中,有时候则是附在所有进程中。我的这个注射到winlogo里去了~
灰鸽子的手工检测方法:
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了"显示所有隐藏文件"也看不到它们。
此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过找资料我发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以"_hook。
dll"结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入
Windows启动画面前,按下F8键,在出现的启动选项菜单中,选择"Safe Mode"或"安全模式"进入安全模式……接着来》》**
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。
打开"我的电脑",选择菜单"工具"—>"文件夹选项",点击"查看
",取消"隐藏受保护的操作系统文件"前的对勾,并在"隐藏文件和文件夹
"项中选择"显示所有文件和文件夹",然后点击"确定"。
2、打开Windows的"搜索文件",文件名称输入"_hook。dll",搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录,在一个子目录下好象还有一个什么HOOK。DLL的文件,这个不用管)下发现了一个名为
G_Server_HOOk。DLL的文件。
4、根据灰鸽子原理分析我们知道,如果G_Server_HOOk。DLL是灰鸽子的文件,则在操作系统安装目录下还会有G_Server。DLL和
G_Server。exe文件。打开Windows目录,一眼就看到者3个家伙躺在一
起呢?再找找,好象没有找到那个用于记录键盘操作的
G_ServerKey。
dlll文件,估计是没有,算啦!
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就
可以进行手动清除。
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模
式下操作,主要有两步:
1、清除灰鸽子的服务;2删除灰鸽子程序文件。
请按照我的操作做,别做错了哈~
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击"开始"->"运行",输入"Regedit。exe",
确定。
),打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单"编辑"->"查找","查找目标"输入"G_Server。
exe",点击确定,我们就可以找到灰鸽子的服务项。
3、删除整个G_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV
ersion\Run项,我们立即看到名为G_Server。
exe的一项,将
G_Server。exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_Server。
exe、G_Server。dll、G_Server_Hook。dll以及
G_Serverkey。dll(有的话~没有就算了)文件,为了确保安全,用喀吧再扫下,没有发现了,那就干净咯~然后重新启动计算机至百秒年 状态下。
再开喀吧检测下,看有没有别的服务启动,没有发现,那就OK了,至此,这个破鸽子已经被清除干净。
。收起