返回列表 发帖

Huigezi.2005“灰鸽子2005”参考解决方案

Huigezi.2005“灰鸽子2005”参考解决方案

这几天被灰鸽子咬了一下,看来杀毒软件的效果好不好还是很重要的,现在在网上找到一些资料,给大家参考一下:

2005新年伊始,关于“灰鸽子2005”的问题比较多,而且这个的变种容易开发,更新极快。这里就简单讲一下如何做一般性处理。衍生系列的变种仅做参考。

  这次的灰鸽子(GrayPigeonServer,一些反病毒软件报的名字是Feutel)不是很容易对付,在被感染的系统%Windows%目录下生成三个病毒文件,格式是这样的:

  文件名.EXE   文件名.DLL   文件名_HOOK.DLL

  比较多见的文件名是:G_Server.exe、G_Server.dll和G_Server_Hook.dll,EXE文件可能经UPX或FSG压缩打包,以下就以这种文件名来做说明。

  在Windows 9x系统中,它可以建立一个G_Server.exe的启动项,在Windows 2000/XP等系统中它建立的是服务,当感染系统后,G_Server.dll插入到Explorer.exe或IExplore.exe的进程中,G_Server_Hook.DLL则会插入到全部的进程中,大家在处理的时候也感觉有些麻烦。

  这个灰鸽子(GrayPigeonServer)还使用了某些技术把自身文件和服务信息隐藏起来,使得大家在正常模式下根本找不到这三个病毒文件。怎么办呢?我们还是有办法搞定它。

  在Windows 9x系统中,你可以先找到病毒建立的那个启动项,把它删除,然后重新启动计算机,重启后尝试找到并删除那三个文件。在Windows 2000/XP的系统中,你可以先把它建立的服务去掉,到注册表编辑器中找到它所建立的那个服务,打开注册表编辑器先定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,然后再找它建立的服务项,比如GrayPigeonServer,找到后删除它并重新启动计算机,重启后查找删除那三个病毒文件就行,这样就不是很麻烦了。

  附:这里附件中的Anti_GPS.reg是一个删除服务名为“GrayPigeonServer”灰鸽子的REG文件,因为服务名是GrayPigeonServer的情况可能相对多一些,大家可以直接运行Anti_GPS.reg导入注册表,免去手动删除服务信息的麻烦。

  另外大家遇到比较多的情况仍然是一些恶意网站上的木马和一些Sdbot、Spybot、Agobot(Gaobot)之类的,这里再次强调,该装的补丁一定要装好,安全预防不可松懈。

  1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序

  2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户

  3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护

  4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务

  5. 不要随便打开或运行陌生、可疑文件和程序,如邮件中的奇怪附件,外挂程序等。

我心飞翔,遨游天下

Win32.Hack.Huigezi.cv.102912如何解决?

按照下面指导,3步就能彻底删除系统里的灰鸽子木马

1. 下载HijackThis扫描系统 下载地址: http://www.skycn.com/soft/15753.html zww3008汉化版 http://www.merijn.org/files/hijackthis.zip 英文版 2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项 如最近流行的: O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe 用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked" 3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox http://yncnc.onlinedown.net/soft/37257.htm 直接把文件的路径复制到 Killbox里删除 通常都是下面这样的文件 "服务名"具体通过HijackThis判断 C:\windows\服务名.dll C:\windows\服务名.exe C:\windows\服务名.bat C:\windows\服务名key.dll C:\windows\服务名_hook.dll C:\windows\服务名_hook2.dll 举例说明: C:\WINDOWS\setemykey.dll C:\WINDOWS\setemy.dll C:\WINDOWS\setemy.exe C:\WINDOWS\setemy_hook.dll C:\WINDOWS\setemy_hook2.dll 用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了

我心飞翔,遨游天下

TOP

网友杀毒经验共享:杀绝灰鸽子(Trojan.Huigezi)

注意:以下清除顺序不可以随意调整。

1.删除灰鸽子服务端程序 由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下: cd c:\windows\system attrib-r-s-h kernel32.exe attrib-r-s-h notepod.exe del kernel32.exe del notepod.exe

还要注意,如果灰鸽子服务端设置了exe 文件关联的话,将会导致注册表编辑器无法运行,所以在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命令如下: ren c:\windows\regedit.exe regedit.com

2.删除注册表中启动键 由于我们改了注册表编辑器名称,所以要打开注册表编辑器应为:打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后,依次打开“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Current Version\Run",在右边的窗口中删除名称为”Loadwindows"的键值就可以了。

清除文件关联

灰鸽子可以设置4种文件关联:exe关联,txt关联,ini关联,inf关联,其中exe关联可以和其他三种类型同时存在。

1.解除exe关联: 启动注册表编辑器,然后找到HKEY_CLASSES_ROOT\Exefile\shell\Open\Cpmmand主键,查看起默认的键值是不是系统默认的“%1%*”,如果被修改,则改成默认值.

2.解除txt关联: 打开注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command主键,其默认值的正常参数应该为“C:\windows\notepad.exe%1",如果不是,请修改为正确数据。

3.解除ini关联: INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键下,其默值数据也是“C:\windows\notepad.exe%1”,如果被修改的话,也要改回来。

4解除inf关联: 打开注册表的HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键,和ini,txt文件关联一样,其默认值也是“C:\windows\notepad.exe%1”,如果被修改,也要立刻改回正确的数据。

至此,灰鸽子已经被你扫地出门了,你不再担心成为别人"盘中餐”了。

我心飞翔,遨游天下

TOP

这个病毒还真不好杀,我到现在还没发现有一个杀毒软件能彻底杀灭灰鸽子的,深受其害.
[glow=350,red,2] 欢迎光临我的个人网站:清新壁纸家园(点我)[/glow]

TOP

返回列表