本文目录一览:
- 1、电脑中木马了病毒了。我保留了病毒样本。谁能帮我看看?
- 2、这是什么?木马?
- 3、计算机病毒程序结构
- 4、什么是木马
- 5、什么是灰鸽子木马?和熊猫烧香病毒有什么不同?
- 6、请问病毒和木马是什么样的?求图片!
电脑中木马了病毒了。我保留了病毒样本。谁能帮我看看?
您好!电脑中毒可以安装杀毒软件进行升级杀毒操作;
如果存在劫持类病毒导致杀毒软件不能正常打开或安装,可下载一些去掉劫持的工具或软件,如“瑞星安全助手”等进行处理后在升级杀毒;
如果依然不能解决问题,建议联系瑞星工程师寻求帮助,电话:4006608866。
这是什么?木马?
病毒毒名称:trojan.generic病毒
病毒中文名:病毒木马
病毒类型:木马
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
请问是用什么杀毒软件?
这种情况一般先杀毒,如果杀不掉,最简单的方法就重装系统.不怕麻烦,请看以下方法.
清除方法:
首先建议使用最新的专业杀毒软件和木马专杀工具AVG和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况,再试试以下方法:
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。
2.如果病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用其他杀毒软件处理,,,,
C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块.
3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法.
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况.建议用金山毒霸的金山反间谍 2006等修复工具.看浏览器辅助对象BHO是否有可疑项目.有就修复它.
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件,一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。
开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效.
手动删除:
按照以下步骤即可删除Trojan.Generic病毒。请先先备份您的注册表和系统,并设置一个还原点,防止发生错误。
Trojan.Generic病毒清除第一步:停止运行进程(利用任务管理器停止以下运行进程)
bcmsn.exe
bbsdf.exe
bdsmss.exe
belly.exe
beird.exe
bbabc835.exe
batura03.exe avupdate.exe
aug.exe
bar.exe
avgcc32.exe
au1g.exe
等等
Trojan.Generic病毒清除第二步:撤消 DLL 的注册
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
aig.dll
abc2.dll
a0002875.dll
7_1,0,0,3_mslagent.dll
8_1,0,0,1_mslagent.dll
7_1,0,0,2_mslagent.dll
7_1,0,0,1_mslagent.dll
53n4nojted.dll
65.dll
4b_1,0,1,0_mslagent.dll
4a_1,0,2,6_mslagent.dll
3_1,0,1,4_mslagent.dll
3_1,0,1,3_mslagent.dll
3_1,0,1,1_mslagent.dll
3_1,0,1,0_mslagent.dll
2_mslagent.dll
~dpb1f1.dll
bcnhhaa.dll
bbnnha32.dll
bhcimhjn.dll
_kwuiex.dll
_kwui.dll
Trojan.Generic病毒清除第三步:删除文件
使用资源管理器删除以下文件(如果存在):
#.exe
$temp$.exe
+g-?+_-d.exe
___synmgr.exe
_kwui.dll
123_2.exe
附:目前的杀毒软件更新病毒库后基本都可自行查杀Trojan.Generic病毒。
计算机病毒程序结构
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来的
第一份关于计算机病毒理论的学术工作( "病毒" 一词当时并未使用)于 1949 年由约翰·冯·诺伊曼完成。以 "Theory and Organization of Complicated Automata" 为题的一场在伊利诺伊大学的演讲,后改以 "Theory of self-reproducing automata" 为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。
1980 年,Jürgen Kraus 于多特蒙德大学撰写他的学位论文 "Self-reproduction of programs"。论文中假设计算机程序可以表现出如同病毒般的行为。
“病毒”一词最早用来表达此意是在弗雷德·科恩(Fred Cohen)1984年的论文《电脑病毒实验》。[7]
1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。
1986年年初,巴基斯坦兄弟编写了“大脑(Brain)”病毒,又被称为“巴基斯坦”病毒。
1987年,第一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)编写。计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。
1988年在财政部的计算机上发现的,中国最早的计算机病毒。
1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。
1990年,发展为复合型病毒,可感染COM和EXE文件。
1992年,利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒。
1995年,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器” ,幽灵病毒流行中国。[8] 典型病毒代表是“病毒制造机” “VCL”。
1998年台湾大同工学院学生刘盈豪编制了CIH病毒。
2000年最具破坏力的10种病毒分别是:Kakworm,爱虫, Apology-B, Marker , Pretty ,Stages-A,Navidad,Ska-Happy99 ,WM97/Thus ,XM97/Jin。[9]
2003年,中国大陆地区发作最多的十个病毒,分别是:红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。[1]
2005年,1月到10月,金山反病毒监测中心共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号的木马病毒(如网银、QQ、网游)为主,病毒多达2000多种。[11]
2007年1月,病毒累计感染了中国80%的用户,其中78%以上的病毒为木马、后门病毒。[12] 熊猫烧香肆虐全球。[13]
2010年,越南全国计算机数量已500万台,其中93%受过病毒感染,感染电脑病毒共损失59000万亿越南盾
病毒分为五种特性
1繁殖性
计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。
2破坏性
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS,硬件环境破坏。
传染性
计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。
3潜伏性
计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作, 会使电脑变慢。
4隐蔽性
计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数,隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难。
5可触发性
编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏.
计算机的病毒原理是
病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存, 并设置触发条件,触发的条件是多样化的, 可以是时钟,系统的日期,用户标识符,也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中,进行各种破坏活动等。
病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去
感染的策略
为了能够复制其自身,病毒必须能够运行代码并能够对内存运行写操作。基于这个原因,许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件,那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染,之后再将控制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的,一个常驻型病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。[22]
非常驻型病毒
非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查找可被感染的文件,一旦搜索到该文件,搜索模块就会启动复制模块进行感染。[23]
常驻型病毒
常驻型病毒包含复制模块,其角色类似于非常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行时会将复制模块加载内存,并确保当操作系统运行特定动作时,该复制模块会被调用。例如,复制模块会在操作系统运行其它文件时被调用。在这个例子中,所有可以被运行的文件均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如,一个快速感染者可以感染所有被访问到的文件。这会对杀毒软件造成特别的问题。当运行全系统防护时,杀毒软件需要扫描所有可能会被感染的文件。如果杀毒软件没有察觉到内存中有快速感染者,快速感染者可以借此搭便车,利用杀毒软件扫描文件的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容易被侦测到,这是因为其行为会使得系统性能降低,进而增加被杀毒软件侦测到的风险。相反的,慢速感染者被设计成偶而才对目标进行感染,如此一来就可避免被侦测到的机会。例如,有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成功。
破坏性
良性病毒、恶性病毒、极恶性病毒、灾难性病毒。
传染方式
引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的"主引导记录"。
文件型病毒是文件感染者,也称为“寄生病毒”。它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。
混合型病毒具有引导区型病毒和文件型病毒两者的特点。
宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。
连接方式
源码型病毒攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。源码型病毒较为少见,亦难以编写。
入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。
操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。
外壳型病毒通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。[25]
计算机病毒种类繁多而且复杂,按照不同的方式以及计算机病毒的特点及特性,可以有多种不同的分类方法。同时,根据不同的分类方法,同一种计算机病毒也可以属于不同的计算机病毒种类。
按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类。
根据病毒存在的媒体划分:
网络病毒——通过计算机网络传播感染网络中的可执行文件。
文件病毒——感染计算机中的文件(如:COM,EXE,DOC等)。
引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。
还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
根据病毒传染渠道划分:
驻留型病毒——这种病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动
非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
根据破坏能力划分:
无害型——除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。
危险型——这类病毒在计算机系统操作中造成严重的错误。
非常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
根据算法划分:
伴随型病毒——这类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒——通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算机将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒——除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同还可细分为以下几类。
练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒,它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等对DOS内部进行修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
目前的电脑病毒有
WM Word6.0、Word95宏病毒
WM97 Word97宏病毒
XM Excel5.0、Excel95宏病毒
X97M Excel5.0和Excel97版本下发作
XF Excel程序病毒
AM Access95宏病毒
AM97M Access97宏病毒
W95 Windows95、98病毒
Win Windows3.x病毒
W32 32位病毒,感染所有32位Windows系统
WINT 32位Windows病毒,只感染Windows NT
Trojan/Troj 特洛伊木马
VBS VBScript程序语言编写的病毒
VSM Visio VBA宏或script的宏或script病毒
JS JScript编程语言编写的病毒
PE 32位寻址的Windows病毒
OSX OS X的病毒
OSXL OS X Lion或者更新版本的病毒
比特币勒索敲诈病毒
在中国 最有名的还要属2006年年底爆发的熊猫烧香病毒
熊猫烧香(2006年)准确的说是在06年年底开始大规模爆发,以Worm.WhBoy.h为例,由Delphi工具编写,能够终止大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,导致用户一打开这些网页文件,IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播,并且利用Windows系统的自动播放功能来运行。
“熊猫烧香”还可以修改注册表启动项,被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。
损失的话大概有上亿美元 此外 这病毒发作的时候 最严重可导致整个互联网瘫痪! 虽说熊猫烧香病毒已绝亡 但是现在病毒最缺德的要属比特币病毒 这类木马会加密受感染电脑中的docx、pdf、xlsx、jpg等114种格式文件,使其无法正常打开,并弹窗“敲诈”受害者,要求受害者支付3比特币作为“赎金”,而从网上查询到的最近比特币的比价,3比特币差不多人民币也要五六千元。这种木马一般通过全英文邮件传播,木马程序的名字通常为英文,意为“订单”“产品详情”等,并使用传真或表格图标,极具迷惑性。收件人容易误认为是工作文件而点击运行木马程序。这种木马“绑匪”的加密方式复杂,运用的是4096位算法,暴力破解需要数十万年,超级计算机破解需要十几年甚至几十年。而且它使用比特币做“赎金”,这种虚拟货币特点是分散化、匿名、只能在数字世界使用,因此比特币交易难以追踪,而同时木马罪犯也藏身匿名网络,这种名为Tor的匿名网络,曝光了“棱镜计划”的美国中央情报局技术分析员斯诺登曾经推荐使用,因为它可以让用户进行匿名访问,保证其使用的服务器无法被追踪。 还有一种病毒也是你需要注意的 那就是Virus.Win32.Alman.b这个病毒 这是一个感染型的病毒 极短时间内可以感染上千个exe可执行程序和C盘所有文件!
中此病毒的系统,将会很惨,可能不得不备份文档后重装系统。
提醒用户及早升级防范virut病毒,如果不幸中招,可根据受损程度处理。如果系统EXE破坏严重,可以采用备份进行还原,没有备份的情况下,覆盖安装可以最大程度减少损失。实在不想麻烦,可以将机子停用个把星期的时间,然后升级病毒库,再查杀,说不定一切迎刃而解了。
这个病毒使用的加密引擎来自波兰,那个IRC服务器域名为 proxim.ircgalaxy.pl,貌似也是波兰的域名。
1 windows 目录下的linkinfo.dll(33792 字节),正常的linkinfo.dll(19968 字节)在windows\system32目录下,该文件是病毒的感染与传播部分,一旦该文件启动之后,就会从网上下载apphelps.dll(有正常的apphelp.dl文件l,但不在该目录下) 到windows\apppatch目录,并注入explorer.exe,以及多种常见的网游客启端,并利用自带字典猜解局域网内所有机器的共享密码 (sb,估计是从熊猫那学来的,基本上不会成功),若成功则将病毒文件复制过去,并启动守感染程序(ins.exe,只从代码中看出,不过我没有发现这个程序)和守护服务riodrvs.sys(tmd,驱动),那像还会注入一些程序,没仔细看.
2 windows\system32\drivers下的riodrvs.sys,正常的是riodrv.sys,这个程序估计是感染部分exe文件(我的一些exe文件坏了,有些没坏,看不出规律),阻止反编译软件,令icesword,sms之类强力工具不能启动用的,真是强,不过还没有分析这个文件.
还有没有不正常的文件还有待进一步分析.
症状
中毒后压缩文件全部被感染,图标变得肥肿,点击系统盘(简称C盘)以外的盘有时会出现蓝屏,进到系统后,杀毒软件打不开,重装了系统还是不行,再点击C盘以外的盘,又被感染! 想防范这个病毒 不要到陌生网站下载软件 以免被感染。
什么是木马
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。[1]
中文名
木马病毒
外文名
Trojan
含义
计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。[2]
木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。这些表面上看似友善的程序运行后,就会进行一些非法的行动,如删除文件或对硬盘格式化。[2]
完整的木马程序一般由两部分组成:一个是服务器端.一个是控制器端。“中了木马”就是指安装了木马的服务器端程序,若你的电脑被安装了服务器端程序,则拥有相应客户端的人就可以通过网络控制你的电脑。为所欲为。这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。[2]
什么是灰鸽子木马?和熊猫烧香病毒有什么不同?
一、灰鸽子病毒简介
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
下面介绍服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
二、灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
三、灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
(一)、清除灰鸽子的服务
注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
(二)、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。
四、防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护
4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
. 下载HijackThis扫描系统
下载地址:
zww3008汉化版
英文版
2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox
直接把文件的路径复制到 Killbox里删除
通常都是下面这样的文件 "服务名"具体通过HijackThis判断
C:\windows\服务名.dll
C:\windows\服务名.exe
C:\windows\服务名.bat
C:\windows\服务名key.dll
C:\windows\服务名_hook.dll
C:\windows\服务名_hook2.dll
举例说明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了
请问病毒和木马是什么样的?求图片!
您好
木马病毒都是具有伪装性和潜伏性的,并不能直接看出来
如果担心电脑中毒,可以到腾讯电脑管家官网下载电脑管家
电脑管家拥有16层实时防护功能,可以从上网安全、应用入口、系统底层等全方位保护电脑安全,并可以在木马活动早期侦测并阻断木马的破坏行为,通过云查杀技术秒杀最新流行木马。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台: