我刚刚试完如下方法,感觉很好,已经完全清除!
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管防病毒厂商一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
最近几天,因系统感染“灰鸽子2005”而求助的帖子又多了起来。这个病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而,由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。
其实,灰鸽子2005有一个弱点,可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:\WINDOWS\spoolvs.exe)。(注:NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。)
因此,建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作:
1、用HijackThis1.99.1扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。
3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:\WINDOWS\spoolvs.exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子2005后,在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息,那么,这个日志提示:这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:\WINDOWS\文件夹中。
附:HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名(供手工杀毒参考)
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE
O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe
O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe
O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe
O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe
O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe
O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe
O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com
O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe
O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe
O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe
023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe
O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe
O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe
O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe
O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe
O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe
HijackThis1.99.1是一个小巧的工具软件,主要用于浏览器劫持分析。瑞星的“反浏览器劫持论坛”提供这个工具下载。
backdoor.gpigeon.slk是什么病毒?如何杀掉?
然后在%windows%下寻找病毒文件名(例: D:\\WINDOWS\\spoolvs.exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子2005后,在HijackThis1....
救命啊!Backdoor.Gpigeon.god这个病毒怎么杀???
不错,翻译过来叫“灰鸽子”,国内著名的木马病毒,用木马克星即可查杀。进入9月份以来,中灰鸽子的求助帖子骤然增多。现在流行的灰鸽子版本繁多,还不时有新版本出现。感染系统后,灰鸽子的DLL或DAT插入系统当前的多个进程中。因而,这个木马很难杀。中招后,很多杀软(包括卡巴斯基这样的名杀软)都不能...
Backdoor.Gpigeon.ukp这个病毒怎么杀?
你中的是windows下的pe病毒,著名的灰鸽子是也```它都出了2006版本也不容易啊```呵呵```他会让当前进程感染病毒```不要说重起之后杀毒,就是刚刚杀完也会再出现```(Backdoor.Gpigeon .(或许加个2006.).*)病毒:警惕程度★★★,后门程序,通过网络传播,依赖系统:WIN X\/NT\/2000\/XP,该...
Backdoor.GPigeon.vgp如何杀?
病毒名称:“灰鸽子变种vgp”( Backdoor.GPigeon.vgp)危害程度:中 受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003 未受影响的系统: Windows 3.x, Macintosh, Unix, Linux 病毒危害:1. 后门程序,通过网络传播 2. 修改注册...
中了这个病毒: Backdoor.Gpigeon.hzw
G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。灰鸽子的...
谁教教我Backdoor.Gpigeon.tgy这个病毒怎么解?~?
你中的是目前比较流行的灰鸽子病毒。杀毒软件一般情况下对灰鸽子病毒的查杀不彻底,建议采用如下的专杀工具解决问题:软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具 界面语言: 简体中文 软件类型: 国产软件 运行环境: \/Win9X\/Me\/WinNT\/2000\/XP\/2003 授权方式: 免费软件 软件大小: 414KB ...
有重酬!能帮我杀掉病毒Backdoor.Gpigeon.cia的我再加100分!
其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的,本人使用的是瑞星杀毒软件并已经更新至最新版本,在正常模式下,瑞星查杀了除G_server.exe文件外的所有文件,其实本人并没有指望瑞星能够全部查杀,但瑞星实际上给我帮了一个大忙,就是帮我确定了所中灰鸽子病毒的类型,我在使用瑞星查杀时查杀了G_server.dll、G_...
Backdoor.Gpigeon.vpd病毒什么杀呀?
如要杀掉"clfjo.sys"就在带病毒文件的根目录下输入:"DEL CLFJO.SYS"即可。装好以后,重新启动。会有两个选择,1---正常进入系统。2---进入dos。用方向键选择进入dos后,一直选第一项就是什么都不加载了。记下病毒所在的目录比如病毒在c:\\windows\\system32\\那么你就输入c:回车--然后是cd空格...
我中了Backdoor.Gpigeon.ftq 这病毒,谁知道怎么杀掉它?
Backdoor.Gpigeon.ftq资料 http:\/\/viruslist.rising.com.cn\/viruslist.asp?id=272391 您好不用担心;既然杀毒软件能查出来就一定能杀,所谓杀不了,是因为病毒在运行;正在运行的程序不能修改或删除的。重新启动,按住F8,进入安全模式,再从安全模式中启动杀毒软件就可以轻松杀毒了。另外请最好清理一...
如何彻底清除病毒Backdoor.GPigeon.2006.iug 等病毒?
1、找到c:\\windows\\taskman32.exe删除,这是个隐藏文件,罪魁祸首就是它。2、运行regedit,搜索taskman32.exe,所有相关项删除。3、再用瑞星杀毒,C:\\Program Files\\Internet Explorer\/IEXPLORE.EXE 会清除成功。重启后你再用瑞星扫描看看,backdoor.gpigeon.2006.ile这个毒已经不会再出现了。我只中了...
