关闭

类似灰鸽子的木马的清除 Backdoor.Gpigeon.bhv Backdoor.Gpigeon.cdd

2659人阅读 评论(1) 收藏 举报
     记不得下载什么东西中了木马,当时瑞星监控报了病毒,并且清除了,所以没有放在心上,现在下载站的木马太多了,所以下载软件最好到一些比较大的站点去(www.skycn.com),速度快,软件新,我一直用它。
      过了几天,我偶然发现右键菜单弹出很慢,用瑞星杀内存,结果发现Backdoor.Gpigeon.bhv和Backdoor.Gpigeon.cdd,瑞星又报成功清除!我重起之后发现竟然还有,遂上网搜索,发现这是一种名为灰鸽子的木马。网上普遍流行的说法是木马有两个文件xxx.exe和xxx_hook.dll,然后把这个作为判断标准,这好像不太严格。(我就没有找到,也许不是灰鸽子,只是原理类似的木马)
      这种木马会在系统中注册服务,并通过自动启动的服务来启动,通过hook系统的api,把自己注册到其他的进程中(我中毒时,瑞星报IExplorer中毒,就是这个原因)。但是木马的服务只有在window安全模式下才能看到!!所以一般情况你根本不会发觉。
      解决方法:首先启动到安全模式,看看有哪些不正常的服务,如果你不太清楚,用HijackThis_zww汉化版 这个软件扫描一下,它会提示你哪些服务它不认识的。对于嫌疑服务,可以通过查看服务的可执行文件路径,找到这个可执行文件,看你认不认识软件(你装过它吗?)如果它在一些系统目录下,如c/window/system c:/window/system32/等等地方,要注意了。判断一个文件是否是window系统文件的一个小技巧是看这个可执行文件的修改时间,如果是系统文件,一般的修改时间应该是你安装这个操作系统的时间,如果是病毒,应该是你发现病毒那段时间。
      我的系统被添加了两个服务:
Network Management Center Task (W32Tasks) - C:/WINDOWS/system32/taskman32.exe
Network Management Center Time (W32Times) - C:/WINDOWS/system32/Timeman32.exe
这两项服务的描述写的很有诱惑性:“XXXXX,此服务被终止或禁用,多数基于 Windows 的软件将无法正常运行.”
强调一下,只有在安全模式下才能看到(开机按F8)。这些可执行文件都是系统的,隐藏的(需要修改 工具->文件夹选项,把显示所有文件钩上,把隐藏系统文件钩取掉,才能看到)
好了,找到问题了。
打开注册表,找到
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services,找到相应的项,我的是(W32Times,W32Tasks)两项,首先用右键把这两项导出保存(以防万一,可以用这个导入来恢复注册表),然后把这两项删除掉。
把上面的可执行文件删除掉(或者先改名,如果重起后系统正常,再删掉)
重起系统,再用瑞星杀毒,没有找到,ok

补充:
Timeman32.exe文件的版本信息中写着是MicroSoft window 的文件,很有欺骗性,请不要只根据这个来判断。

另外一个现象是,我启动系统的时候会弹出一个错误信息,内容是一个叫timeman32.exe的程序运行出错。

上面的服务项,文件地址等信息只是参考,估计木马的这些信息都是可以定制的。提醒大家这些服务,文件等信息只有在安全模式下才能看到,希望在你杀毒的时候多一个思路。
0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:23494次
    • 积分:379
    • 等级:
    • 排名:千里之外
    • 原创:14篇
    • 转载:3篇
    • 译文:0篇
    • 评论:3条
    最新评论