手动删除灰鸽子

手动删除灰鸽子 简介:现在灰鸽子的变种及其的多, 从而造就了一种相当难处理干净的木马. 例如之前11月中旬新出的2005灰鸽子, 能通过截取windows的API实现在文件系统, 进程系统, 服务中的隐藏. 由于灰鸽子的变种很多, 很难保证大家在下载工具查杀的时候中了更新版本灰鸽子. 所以特别推出: 现在灰鸽子的变种及其的多, 从而造就了一种相当难处理干净的木马. 例如之前11月中旬新出的2005灰鸽子, 能通过截取windows的API实现在文件系统, 进程系统, 服务中的隐藏. 由于灰鸽子的变种很多, 很难保证大家在下载工具查杀的时候中了更新版本灰鸽子. 所以特别推出: 手动查杀灰鸽子全功略 首先, 不要认为系统进程中没有异常进程就是安全. 因为新种的灰鸽子能根据服务端的设置, 隐藏在任何一个可能存在的系统进程中. 其次, 任何一个版本的灰鸽子, 都会在操作系统的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)下生成一个以''''''''_hook.dll'''''''' 结尾的文件(mag_hook.dll文件除外)。 好了, 现在就开始咱们的查杀过程吧. 灰鸽子的查找与确认 第一 ,重新启动计算机, 根据操作系统的不同进入安全模式(98按住Ctrl, 2000以上版本按住F8), 在启动选项菜单里选择''''''''安全模式''''''''. 第二, 打开''''''''我的电脑'''''''',选择菜单''''''''工具''''''''====> ''''''''文件夹选项'''''''' , 点击''''''''查看''''''''勾选''''''''隐藏受保护的操作系统文件'''''''', 并在''''''''隐藏文件和文件夹''''''''项中选择''''''''显示所有 文件和文件夹''''''''然后点击''''''''确定'''''''' 第三, 打开Windows的''''''''搜索文件'''''''' , 文件名称输入''''''''_hook.dll''''''''搜索我的电脑(推荐) 第四, 经过搜索，我们在Windows目录(不包含子目录)下发现了一个名为X_Hook.dll(这个X可能为任何名称)的文件。 第五, 根据灰鸽子原理分析我们知道，如果X_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有X.exe和X.dll文件. 打开Windows目录, 果然有这两个文件, 同时还可能有一个用于记录键盘操作的XKey.dll文件(盗号的就是它了!). 灰鸽子的手工清除 经过上面的分析, 清除灰鸽子就很容易了. 清除灰鸽子仍然要在安全模式下操作, 主要有两步 1, 清除灰鸽子的服务 2, 删除灰鸽子程序文件. (注意:为防止误操作，清除前一定要做好备份.) 一、清除灰鸽子的服务 2000/XP系统: 1, 打开注册表编辑器(点击''''''''开始'''''''' ===> ''''''''运行'''''''', 输 入''''''''Regedit'''''''' ,确定) 打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlS et\Services注册表项。 2, 点击菜单''''''''编辑''''''''==> ''''''''查找'''''''' , ''''''''查找目标''''''''输入''''''''X.exe'''''''', 点击确定，我们就可以找到灰鸽子的服务项(此例为X_Server). 3、删除整个X_Server项。 98/me系统: 在9X下, 灰鸽子启动项只有一个, 因此清除更为简单. 运行注册表编辑器, 打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项, 我们立即看到名为Game.exe的一项, 将Game.exe项删除即可. 二、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的X.exe , X.dll, X_Hook.dll以及X.dll文件, 然后重新启动计算机. 至此, 灰鸽子服务端已经被清除干净. 最后想说的话: 在internet上,没有任何一台连接了网络的电脑是绝对安全的. 没有任何一个防火墙是万能的. 只有建立良好的自我保护机制, 才能从根本上杜绝木马带来的威胁.