首先要解決的任務(wù)是如何檢測灰鴿子,
網(wǎng)絡(luò)上介紹的方法眾多,俺用了半年多的時間一直幫網(wǎng)友檢測灰鴿子的經(jīng)歷來談?wù)劊趺纯焖贆z測灰鴿子。
1、請下載漢化版hijackthis備用,下載漢化版killbox備用,刪除文件利器
HijackThis v1.99.1 首頁綁架克星
它能夠?qū)⒔壖苣鸀g覽器的程序揪出來!并且移除之!或許您只是瀏覽某個網(wǎng)站、安裝了某個軟件,就發(fā)現(xiàn)瀏覽器設(shè)定已經(jīng)被綁架了,一般常見的綁架方式莫過于強制竄改您的瀏覽器首頁設(shè)定、搜尋頁設(shè)定,現(xiàn)在有了這個工具,可以將所有可疑的程序全抓出來,進行分析。本來它只能看看瀏覽器綁架的問題,在眾多網(wǎng)友的實踐中發(fā)現(xiàn)它還能夠分析的出灰鴿子的大致位置和服務(wù)項。
2、直接運行hijackthis.exe
a、選 以上都不是,只是進入啟動程序(進入主界面)
b、然后點左下角的掃描
c、再掃描出來的界面中直接查找023項目,就是服務(wù)項,
如果發(fā)現(xiàn)有這樣的023項目,那么恭喜你了,中了灰鴿子
如:
O23 - NT 服務(wù): Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:WINDOWSG_Server2.0.exe
O23 - NT 服務(wù): Generic_Save_Server (Fast Double) - Unknown owner - C:WINDOWSGeneric Hoster.exe
O23 - NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWS1.exe
O23 - NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSG_Server.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSG_Server.exe
等等,共同特點是在023項,Gray_Pigeon_Server+Unknown owner +C:WINDOWS(就是直接安裝在系統(tǒng)盤/win下面)
下面俺來談?wù)劷柚G色工具,漢化版hijackthis和漢化版killbox來談?wù)勈止で宄银澴拥慕?jīng)歷,下面手工查殺過程.
實戰(zhàn)一:
O23 - NT 服務(wù): RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:WINDOWSRpcSs.exe
根據(jù)樓主的描敘(帖主的瑞星報告灰鴿子病毒感染文件C:WINDOWSRpcSs.exe,這是俺第一次實戰(zhàn)查殺灰鴿子的經(jīng)歷,所有映像特別深)),這是灰鴿子的項,刪除下面的文件后,用hiujackthis修復(fù)
下載漢化版killbox(刪除文件利器)
填入完整路徑刪除下面文件,不放心到安全模式下刪除,(xp建議關(guān)閉系統(tǒng)還原,其他包括xp清理所有臨時文件)
如果有的話讓killbox幫樓主強行刪除。
C:WINDOWSRpcSs.exe
C:WINDOWSRpcSs.dll
C:WINDOWSRpcSshook.dll
C:WINDOWSRpcSskey.dll
開始→控制面板→性能和維護→管理工具→服務(wù)→查找 RpcSo →右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
實戰(zhàn)二:
一個網(wǎng)友的hijackthis的掃描結(jié)果:
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:WINDOWSG_Server2.0.exe
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:WINDOWSsvchost.exe
回復(fù):
讓killbox幫樓主強行刪除。
C:WINDOWSG_Server2.0.exe
C:WINDOWSG_Server2.0.dll
C:WINDOWSG_Server2.0hook.dll
C:WINDOWSG_Server2.0key.dll
C:WINDOWSsvchost.exe
C:WINDOWSsvchost.dll
C:WINDOWSsvchosthook.dll
C:WINDOWSsvchostkey.dll
開始→控制面板→性能和維護→管理工具→服務(wù)→查找 Gray_Pigeon_Server2.0 Gray_Pigeon_Svchost→右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
還是那網(wǎng)友的掃描報告,一個手工殺死了一個灰鴿子:
殺死一個灰鴿子后的hijackthis的loge,服務(wù)未關(guān)閉,顯示為(file missing)
O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:WINDOWSG_Server2.0.exe (file missing)
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:WINDOWSsvchost.exe
實戰(zhàn)三:
O23 - NT 服務(wù): system - Unknown owner - C:WINDOWSsystem.exe
灰鴿子的服務(wù)項,直接修復(fù),或控制面板→性能和維護→管理工具→服務(wù)→查找 system →右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定
下載漢化版killbox(刪除文件利器),進入安全模式,關(guān)閉系統(tǒng)還原/情況所有臨時文件,
用killbox,填入完整路徑刪除下面文件,如果有的話,讓killbox幫樓主強行刪除。
C:WINDOWSsystem.exe
C:WINDOWSsystem.dll
C:WINDOWSsystemHook.dll
C:WINDOWSsystemkey.dll
應(yīng)該變成:
O23 - NT 服務(wù): system - Unknown owner - C:WINDOWSsystem.exe(file missing)
實戰(zhàn)四:
O23 - NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSGame.exe
O23 - NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSCaopng.exe
俺的回復(fù): 控制面板→性能和維護→管理工具→服務(wù)→查找 Gray_Pigeon_Server Gray_Pigeon_Server →右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定
用killbox,填入完整路徑刪除下面文件,如果有的話,讓killbox幫樓主強行刪除。
C:WINDOWSCaopng.exe
C:WINDOWSCaopng.dll
C:WINDOWSCaopng.exe.Hook.dll
C:WINDOWSCaopng.exe.dll
C:WINDOWSGame.exe.exe
C:WINDOWSGame.exe.dll
C:WINDOWSGame.exehook.dll
C:WINDOWSGame.exe key.dll
實戰(zhàn)五:
O23 - NT 服務(wù): 4444 - Unknown owner - D:Program FilesHgzServer555.exe (file missing)
已經(jīng)被殺了,還是被卸載了,服務(wù)還在,建議關(guān)閉它的服務(wù)
開始→控制面板→性能和維護→管理工具→服務(wù)→查找 4444 →右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
O23 - NT 服務(wù): Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - D:WINDOWSsmss.exe
灰鴿子,還是活的,先關(guān)閉它的服務(wù): 開始→控制面板→性能和維護→管理工具→服務(wù)→查找 Gray_Pigeon_Server2.0 →右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
然后斷網(wǎng),關(guān)閉系統(tǒng)還原,清空所有臨時文件,安全模式下借助漢化版killbox,填入下面路徑
D:WINDOWSsmss.exe
D:WINDOWSsmss.dll
D:WINDOWSsmss.bat
D:WINDOWSsmsshook.dll
D:WINDOWSsmsskey.dll
(可能有這些文件,讓killbox去判斷)
實戰(zhàn)六:
O23 - NT 服務(wù): Remote Administrator Service (r_server) - Unknown owner - D:WINDOWSsystem32 _server.exe" /service (file missing)
開始→控制面板→性能和維護→管理工具→服務(wù)→查找 Remote Administrator Service→右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
O23 - NT 服務(wù): sys32 - Unknown owner - D:Program FilesHgzServersys32.exe (file missing)
灰鴿子,可能被殺或被卸載,建議關(guān)閉這服務(wù), 開始→控制面板→性能和維護→管理工具→服務(wù)→查找 sys32 →右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
這牧馬人也太明目張膽了,直接用灰鴿子的名稱作為文件夾。
實戰(zhàn)七:
O23 - NT 服務(wù): Jray_Pigeon_Server (JrayPigeonServer) - Unknown owner - C:WINDOWSJ_Server.exe
灰鴿子,先關(guān)閉它的服務(wù), 開始→控制面板→性能和維護→管理工具→服務(wù)→查找 Jray_Pigeon_Server →右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
然后手工或借助漢化版killbox強行刪除項目可能有的文件,建議斷網(wǎng),安全模式下進行:
C:WINDOWSJ_Server.exe
C:WINDOWSJ_Server.dll
C:WINDOWSJ_Serverhook.dll
C:WINDOWSJ_Serverkey.dll
C:WINDOWSJ_Server.bat
實戰(zhàn)八:
O23 - NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSscvhostgz.exe
灰鴿子, 斷網(wǎng),安全模式,清空所以臨時文件,關(guān)閉系統(tǒng)還原,進行下面操作:
先關(guān)閉它的服務(wù), 開始→控制面板→性能和維護→管理工具→服務(wù)→查找 Gray_Pigeon_Server→右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
可能有下面文件,直接用killbox來解決:
C:WINDOWSscvhostgz.exe
C:WINDOWSscvhostgz.dll
C:WINDOWSscvhostgzhook.dll
C:WINDOWSscvhostgzkey.dll
C:WINDOWSscvhostgz.bat
實戰(zhàn)九:
O23 - NT 服務(wù): Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:WINDOWSG_Server.exe
建議到安全模式下面操作,先關(guān)閉它的服務(wù), 開始→控制面板→性能和維護→管理工具→服務(wù)→查找 Gray_Pigeon_Server→右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
可能有下面文件,直接用killbox來解決:
C:WINDOWSG_Server.exe.exe
C:WINDOWSG_Server.exe.dll
C:WINDOWSG_Server.exehook.dll
C:WINDOWSG_Server.exekey.dll
C:WINDOWSG_Server.exe.bat
實戰(zhàn)十:
O23 - NT 服務(wù): service - Unknown owner - C:WINDOWSservice.exe (file missing),
灰鴿子,灰鴿子已經(jīng)被殺了,建議進行下面操作:
下載漢化版killbox(刪除文件利器)
填入完整路徑刪除下面文件,不放心到安全模式下刪除,(xp建議關(guān)閉系統(tǒng)還原,清理所有臨時文件)
C:WINDOWSservice.exe
C:WINDOWSservice.dll
C:WINDOWSservicehook..dll
C:WINDOWSservicekey.dll
C:WINDOWSservice.bat
如果有的話讓killbox幫樓主強行刪除。
最后:
開始→控制面板→性能和維護→管理工具→服務(wù)→查找 service →右擊→屬性→啟動類型→禁止→應(yīng)用→停止→確定。
