手动驱除灰鸽子


IT资讯	系统天下	网盟学院


硬件DIY	软件下载	网络安全

您现在的位置： ChinaBeta.cn 中文IT资讯 >> 网络安全 >> 菜鸟入门 >> HACK技术正文

手动驱除灰鸽子

Www.ChinaBeta.Cn 更新时间：2006-7-19

【ChinaBeta.Cn 网络安全】

1、清除灰鸽子的服务；2删除灰鸽子程序文件。
注意：为防止误操作，清除前一定要做好备份。
一、清除灰鸽子的服务
2000／XP系统：
1、打开注册表编辑器（点击"开始"－》"运行"，输入"Regedit.exe"，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单"编辑"－>"查找"，"查找目标"输入"G_Server.exe"，点击确定，我们就可以找到灰鸽子的服务项。_+Q_&S2p^)Pg
3、删除整个G_Server项。

98／me系统：
在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为G_Server.exe的一项，将G_Server.exe项删除即可。

二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序
　　2. 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护
　　4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
下载HijackThis扫描系统
http://www.skycn.com/soft/15753.html zww3008汉化版
http://www.merijn.org/files/hijackthis.zip 英文版
5.从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner -C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner -C:\WINDOWS\uinstall.exe x
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
6. 用Killbox删除灰鸽子对应的木马文件可以从这里下载Killbox
http://yncnc.onlinedown.net/soft/37257.htm
通过注册表查杀灰鸽子
一禁用系统恢复
使用组策略编辑器
1. 单击开始，单击运行，键入 gpedit.msc，然后单击确定。
2. 展开“计算机配置”，展开“管理模板”，展开“系统”，然后单击系统恢复。
3. 双击“关闭系统恢复”，然后在设置选项卡上，选择禁用。
4. 双击“关闭配置”，然后在设置选项卡上，选择启用。
有关这些设置的作用的详细信息，请在单击属性对话框上的解释选项卡。
5. 单击应用，然后单击确定。
二升级病毒定义库
Symantec 可LIVEUPDATE,NORTON也能吧 bbs.abcbit.comk%Iif\ s$wo
三在安全模式扫描,并删除感染文件
操作后可离开安全模式,跳到四
四删除注册表键值

Symantec强烈建译备份注册表.
click 开始>运行-- 输入 regedit,确定后进入
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Connection Wizard
删除右侧值: "Compleated" = "1"
再进入,删除下列键(key)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServer
7Q
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER
离开注册表编辑器
五查找并停止服务

click 开始>运行-- 输入 services.msc,确定后进入
定位并选择探测到的Trojan.Feutel服务
点吉动作(Action)>属性(Properties),点吉停止
改变启动类型为手动
点吉确定,关闭服务窗口
重启