如何清楚電腦里的灰鴿子病毒？

swolook 2010-07-04

展開全文

如何清楚電腦里的灰鴿子病毒？ G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄，2k/NT下為系統(tǒng)盤的Winnt目錄)，然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端，有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)（9X系統(tǒng)寫注冊表啟動項），每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。灰鴿子的手工檢測由于灰鴿子攔截了API調(diào)用，在正常模式下服務(wù)端程序文件和它注冊的服務(wù)項均被隱藏，也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務(wù)端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。但是，通過仔細觀察我們發(fā)現(xiàn)，對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出，無論自定義的服務(wù)器端文件名是什么，一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子服務(wù)端。由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統(tǒng)進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現(xiàn)的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。 1、由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然后點擊“確定”。 2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄（默認98/xp為C:\windows，2k/NT為C:\Winnt）。 3、經(jīng)過搜索，我們在Windows目錄（不包含子目錄）下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件。手工清除灰鴿子并不難，重要的是我們必須懂得它的運行原理。灰鴿子的運行原理灰鴿子遠程監(jiān)控軟件分兩部分：客戶端和服務(wù)端。黑客（姑且這么稱呼吧）操縱著客戶端，利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認為G_Server.exe，然后黑客通過各種渠道傳播這個服務(wù)端（俗稱種木馬）。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你運行；也可以建立一個個人網(wǎng)頁，誘騙你點擊，利用IE漏洞把木馬下載到你的機器上并運行；還可以將文件上傳到某個軟件下載站點，冒充成一個有趣的軟件誘騙用戶下載……，這正違背了我們開發(fā)灰鴿子的目的，所以本文適用于那些讓人非法安裝灰鴿子服務(wù)端的用戶，幫助用戶刪除灰鴿子 Vip 2005 的服務(wù)端程序。本文大部分內(nèi)容摘自互聯(lián)網(wǎng)。如果你沒有興趣讀下面的文章，請直接下載我們提供的清除器使用：點擊這里下載 G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄，2k/NT下為系統(tǒng)盤的Winnt目錄)，然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端，有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)（9X系統(tǒng)寫注冊表啟動項），每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。灰鴿子的手工檢測由于灰鴿子攔截了API調(diào)用，在正常模式下服務(wù)端程序文件和它注冊的服務(wù)項均被隱藏，也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務(wù)端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。但是，通過仔細觀察我們發(fā)現(xiàn)，對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出，無論自定義的服務(wù)器端文件名是什么，一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子服務(wù)端。由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統(tǒng)進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現(xiàn)的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。 1、由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然后點擊“確定”。 2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄（默認98/xp為C:\windows，2k/NT為C:\Winnt）。 3、經(jīng)過搜索，我們在Windows目錄（不包含子目錄）下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件。 4、根據(jù)灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的GameKey.dll文件經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子服務(wù)端了，下面就可以進行手動清除。灰鴿子的手工清除經(jīng)過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：1、清除灰鴿子的服務(wù)；2刪除灰鴿子程序文件。注意：為防止誤操作，清除前一定要做好備份。一、清除灰鴿子的服務(wù) 2000／XP系統(tǒng)： 1、打開注冊表編輯器（點擊“開始”－》“運行”，輸入“Regedit.exe”，確定。），打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。 2、點擊菜單“編輯”－》“查找”，“查找目標”輸入“game.exe”，點擊確定，我們就可以找到灰鴿子的服務(wù)項（此例為Game_Server）。 3、刪除整個Game_Server項。 98／me系統(tǒng)：在9X下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項，我們立即看到名為Game.exe的一項，將Game.exe項刪除即可。二、刪除灰鴿子程序文件刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新啟動計算機。至此，灰鴿子VIP 2010 服務(wù)端已經(jīng)被清除干凈。