类似灰鸽子的木马的清除 Backdoor.Gpigeon.bhv Backdoor.Gpigeon.cdd

原创 2006年05月20日 19:27:00
     记不得下载什么东西中了木马,当时瑞星监控报了病毒,并且清除了,所以没有放在心上,现在下载站的木马太多了,所以下载软件最好到一些比较大的站点去(www.skycn.com),速度快,软件新,我一直用它。
      过了几天,我偶然发现右键菜单弹出很慢,用瑞星杀内存,结果发现Backdoor.Gpigeon.bhv和Backdoor.Gpigeon.cdd,瑞星又报成功清除!我重起之后发现竟然还有,遂上网搜索,发现这是一种名为灰鸽子的木马。网上普遍流行的说法是木马有两个文件xxx.exe和xxx_hook.dll,然后把这个作为判断标准,这好像不太严格。(我就没有找到,也许不是灰鸽子,只是原理类似的木马)
      这种木马会在系统中注册服务,并通过自动启动的服务来启动,通过hook系统的api,把自己注册到其他的进程中(我中毒时,瑞星报IExplorer中毒,就是这个原因)。但是木马的服务只有在window安全模式下才能看到!!所以一般情况你根本不会发觉。
      解决方法:首先启动到安全模式,看看有哪些不正常的服务,如果你不太清楚,用HijackThis_zww汉化版 这个软件扫描一下,它会提示你哪些服务它不认识的。对于嫌疑服务,可以通过查看服务的可执行文件路径,找到这个可执行文件,看你认不认识软件(你装过它吗?)如果它在一些系统目录下,如c/window/system c:/window/system32/等等地方,要注意了。判断一个文件是否是window系统文件的一个小技巧是看这个可执行文件的修改时间,如果是系统文件,一般的修改时间应该是你安装这个操作系统的时间,如果是病毒,应该是你发现病毒那段时间。
      我的系统被添加了两个服务:
Network Management Center Task (W32Tasks) - C:/WINDOWS/system32/taskman32.exe
Network Management Center Time (W32Times) - C:/WINDOWS/system32/Timeman32.exe
这两项服务的描述写的很有诱惑性:“XXXXX,此服务被终止或禁用,多数基于 Windows 的软件将无法正常运行.”
强调一下,只有在安全模式下才能看到(开机按F8)。这些可执行文件都是系统的,隐藏的(需要修改 工具->文件夹选项,把显示所有文件钩上,把隐藏系统文件钩取掉,才能看到)
好了,找到问题了。
打开注册表,找到
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services,找到相应的项,我的是(W32Times,W32Tasks)两项,首先用右键把这两项导出保存(以防万一,可以用这个导入来恢复注册表),然后把这两项删除掉。
把上面的可执行文件删除掉(或者先改名,如果重起后系统正常,再删掉)
重起系统,再用瑞星杀毒,没有找到,ok

补充:
Timeman32.exe文件的版本信息中写着是MicroSoft window 的文件,很有欺骗性,请不要只根据这个来判断。

另外一个现象是,我启动系统的时候会弹出一个错误信息,内容是一个叫timeman32.exe的程序运行出错。

上面的服务项,文件地址等信息只是参考,估计木马的这些信息都是可以定制的。提醒大家这些服务,文件等信息只有在安全模式下才能看到,希望在你杀毒的时候多一个思路。

灰鸽子病毒手工清除方法[多图]

灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不...
  • tgw2000
  • tgw2000
  • 2015年01月20日 16:51
  • 854

解密灰鸽子木马帝国【实在是恐怖呀】

“灰鸽子”是一个隐藏在超过2000万台接通网络的计算机中的木马,每一台中此病毒的电脑就是控制者手里的“肉鸡”。这些“肉鸡”在控制者手中就像大白菜一样被卖来卖去,低者1分一只,高者5块一只。这个木马形成...
  • JellyLv
  • JellyLv
  • 2007年07月02日 08:59
  • 1894

探讨两个比较难杀灭的灰鸽子变种

主题: 探讨两个比较难杀灭的灰鸽子变种     非常感谢你开了这样一个博客来帮助大家解决问题。正是你提供的procexp帮我解决掉了一个灰鸽子变种。   我为了这个木马忙了两天多,在网上没有找到什么有...
  • iiprogram
  • iiprogram
  • 2006年11月13日 10:06
  • 1848

灰鸽子木马的原理和清除方法

 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动...
  • jeefchen
  • jeefchen
  • 2008年07月24日 17:19
  • 1304

木马的检测与清除(灰鸽子)

木马程序不同于病毒程序,通常并不像病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性。由...
  • Ax3soft
  • Ax3soft
  • 2008年09月16日 15:14
  • 203

清除wnTKYg 这个挖矿工木马的过程讲述

由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU...
  • u010789532
  • u010789532
  • 2017年04月23日 17:41
  • 6214

linux 木马清理过程

http://mp.weixin.qq.com/s?__biz=MzA4Nzc4MjI4MQ==&mid=401028869&idx=1&sn=fb40e2d0f353c8cf3353cc3a6352...
  • u011537073
  • u011537073
  • 2015年12月11日 22:02
  • 2372

Linux服务器中木马(肉鸡)手工清除方法(转载)

由于自己也碰到过这种情况,刚好看到这篇文章,先转载过来。的确蛮有用的哦。 首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称...
  • w2909526
  • w2909526
  • 2017年04月20日 17:09
  • 641

灰鸽子木马来源追踪

【目     标】:N/A【工     具】:OllyDBG 1.1【任     务】:木马来源追踪 【操作平台】:Windows xp sp2 【作     者】: LOVEBOOM[DFCG][F...
  • bmd2chen
  • bmd2chen
  • 2006年01月11日 08:12
  • 4558

教你如何清除WEB服务器木马

很多朋友都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。有经验的朋友会知道这是网页病毒,但是自己打开的明明是正规网站,没有哪家正规网站会将病毒放在自己的网页...
  • smartsky
  • smartsky
  • 2007年05月22日 18:23
  • 688
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:类似灰鸽子的木马的清除 Backdoor.Gpigeon.bhv Backdoor.Gpigeon.cdd
举报原因:
原因补充:

(最多只允许输入30个字)