查杀“灰鸽子2005”

最新推荐文章于 2024-04-27 17:45:49 发布
最新推荐文章于 2024-04-27 17:45:49 发布
阅读量49 收藏
点赞数
文章标签: 操作系统 运维
原文链接:http://www.cnblogs.com/kary/archive/2005/05/25/162071.html
版权
最近几天,因系统感染“灰鸽子2005”而求助的帖子又多了起来。这个病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而,由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。
其实,灰鸽子2005有一个弱点,可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:\WINDOWS\spoolvs.exe)。
因此,建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作:
1、用HijackThis1.99.1(本帖附件中的一个小工具)扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。
3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:\WINDOWS\spoolvs.exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子2005后,在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息,那么,这个日志提示:这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:\WINDOWS\文件夹中。
附:HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名(供手工杀毒参考)
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE

O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe

O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe

O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe

O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe

O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe

O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe

O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com

O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe

O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe

O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe

023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe

O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe

O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe

O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe

O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe

O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe


HijackThis1.99.1在下面的附件中。


附件: RAR文件

转载于:https://www.cnblogs.com/kary/archive/2005/05/25/162071.html

weixin_30871293
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Huigezi专杀,专门查杀灰鸽子
06-27
专门查杀灰鸽子客户端。 如果你的机子中了灰鸽子,这个可以帮你一扫而净。
灰鸽子远控软件使用及xuetr查杀
weixin_46476861的博客
04-02 208
灰鸽子远控软件 这里靶机是2003,别的不一定管用 重新配一个 壳的左右除了减小体积,还可以对其加密 假如这个木马做了免杀,我们怎么去发现他 按进程,启动项,服务,计划任务等一个一个找 手工删除 ...
远程控制---实验十:灰鸽子远控软件使用实验
weixin_70557959的博客
05-06 5902
一、实验目的及要求 1、掌握经典远控木马的原理 2、掌握“灰鸽子”木马的使用方法 二、实验原理 “灰鸽子”是现在网络上非常流行的一种木马,由两部分组成,一是控制端(主程序),一是服务端(也叫受控端)。任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件,使得用户防不胜防。 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码..
灰鸽子病毒查杀
hzbairly的专栏
10-13 1230
病毒特性:G_Server.exe(即灰鸽子病毒的服务器端)第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务,然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操
灰鸽子手动查杀
shamom的专栏
04-25 448
灰鸽子的查找与确认第一 ,重新启动计算机, 根据操作系统的不同进入安全模式(98按住Ctrl, 2000以上版本按住F8), 在启动选项菜单里选择安全模式.    第二, 打开我的电脑,选择菜单工具====> 文件夹选项 , 点击查看勾选隐藏受保护的操作系统文件, 并在隐藏文件和文件夹项中选择显示所有文件和文件夹然后点击确定  第三, 打开Windows的搜索
灰鸽子查杀工具
12-19
帮你揭碑本人远程监控的控绕
金山急救箱-木马查杀利器
06-04
金山急救箱可以完美清除极虎病毒、AV终结者、机器狗、'灰鸽子、上兴等远程控制木马',还能根据行为清除未知木马,能彻底修复IE首页被篡改、桌面IE图标异常等典型的IE浏览器被破坏的问题,完美修复系统异常
木马杀客 v5.2 Build 0120 绿色注册版
02-20
由于近期灰鸽子木马的横行,故新版附带灰鸽子专杀工具完全查杀所有灰鸽子木马.更加强了对种类变种木马查杀力度.让木马无处遁形.采用剑马新图标,更美观.软件更加易用功能更加贴心,让你在上网冲浪的同时免去了对木马...
木马绝杀 v7.5 Build 0827
03-15
正式用户可以实时在线升级数据库,针对性专杀部分多变种木马: 针对冰河、黑洞、灰鸽子、QQ尾巴等木马,针对性查杀,不论是否变种或修改,准确查杀未知木马、提示发现“类木马”软件:只要发现类似木马的软件,都会...
各大系统安装GO语言环境基本方法
赛时科技
04-26 214
请注意,上述步骤可能会根据具体的操作系统版本和Go语言版本有所不同。在安装过程中,如果遇到任何问题,建议查阅Go语言的官方文档或相关社区资源以获取帮助。安装Go语言环境主要涉及到下载和安装Go语言的编译器和工具链。来验证Go语言环境是否成功安装。如果成功安装,你将看到安装的Go语言版本号。安装完成后,你可以通过在终端或命令提示符中输入。
[Linux_IMX6ULL驱动开发]-设备树简述
levi的博客
04-24 861
这个属性有一点重要的作用是,假如我这里有两块板子,板子A以及板子B,同时使用了一个公板的设备树节点XXX.dtsi(dtsi表示可以被设备树使用#include包含),此时我的板子A不需要使用到公板的uart节点,那么我们直接在板子A的设备树中,使用&uart来引用此节点,再把状态设置为disable即可。设备树的属性如果不是自定的,那么可以直接获取,比如说reg属性,就是MEM资源,interrupts属性,就是IRQ资源,这些都是可以直接调用函数platform_get_resource获取。
鸿蒙 harmonyos 线程 并发 总结 async promise Taskpool woker(四)多线程并发 Worker管理
qq_28641891的博客
04-25 577
多线程并发 Worker管理的管理 分发 监听
036——完善编译框架和注释并选择开源协议
qq_52479948的博客
04-25 940
经过两个月的努力现在已经写了457MB的代码了├── board├── build├── client├── driver├── OS├── output├── server└── tools├── bash└── src。
如何使用bof-launcher在CC++Zig应用程序中执行Beacon对象文件(BOF)
FreeBuf_的博客
04-26 587
bof-launcher是一个开源库,可以在Windows和UNIX/Linux系统上加载、重新定位和启动BOF。当前版本的bof-launcher支持下列功能:1、与Cobalt Strike的Beacon完全兼容,可以编译和运行Cobalt Strike Community Kit中提供的每一个BOF以及其他所有遵循通用BOF模板的开源BOF;2、作为一个完全独立的库分发,不依赖与任何其他组件(甚至不使用libc);3、支持与C/C++/Zig应用程序完美集成;
百种提权及手段一览系列第8集
qq_35254085的博客
04-26 638
特权升级的危险是显而易见的。批注:https://github.com/djhohnstein/SharpWeb/releases/tag/v1.2。批注:https://github.com/vivami/SauronEye/releases/tag/v0.0.9。类型: Enumeration & Hunt。类型: Enumeration & Hunt。类型: Enumeration & Hunt。类型: Enumeration & Hunt。类型: Enumeration & Hunt。
Linux安装Redis-MERZ
最新发布
weixin_43154319的博客
04-27 392
gcc是linux下的一个编译程序,是C程序的编译工具。GCC(GNU Compiler Collection) 是 GNU(GNU’s Not Unix) 计划提供的编译器家族,它能够支持 C, C++, Objective-C, Fortran, Java 和 Ada 等等程序设计语言前端,同时能够运行在 x86, x86-64, IA-64, PowerPC, SPARC和Alpha 等等几乎目前所有的硬件平台上。
【内附完整redis配置文件】linux服务器命令设置redis最大限制内存大小,设置redis内存回收机制,redis有哪些回收机制
G佳伟
04-23 556
redis经常出现进程自己挂掉,经排查后是因为redis占用内存过大,导致服务器内存爆满进程自己挂掉。
gcc,软硬链接和制作动静态库
2301_80249167的博客
04-23 387
我们在程序里使用的库接口在链接时会将调用函数处转换成库的起始地址+偏移量,所以在我们将动态库加载到内存当中时是可以在任意位置加载的,然后通过页表将虚拟地址空间和物理内存建立映射关系,但是在虚拟地址空间内会将动态库的起始地址存放在共享区里,2.在/etc/ld.so.conf.d/路径下创建一个.conf文件,将动态库的路径添加到该文件的内容中,一个.conf只能有一个路径。软连接本质上是创建一个新的文件,该文件有自己的inode,文件的内容是所连接文件的地址。静态库要以lib开头,.so结尾。
webshell查杀工具
05-05
为了防止Webshell的滥用,可以使用一些Webshell查杀工具来检测和清除已知的Webshell文件。 以下是一些常用的Webshell查杀工具: 1. WSSAT(Web Security Scanner and Auditing Tool):WSSAT是一款开源的Web安全评估...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值