灰鸽子-手动清除

灰鸽子-手动清除 这个木马对方是一个专门靠开发木马的狱之门伙，断网后用了现目今所有查木马的软件，包 括木马终结者，The Cleaner 3.1,诺盾，金山等都查不出来，此木马运行后除了可以执行 Windows所有功来外，甚至连你的一举一动包括你用QQ和别人聊天的内容都可以监听。至 今为止绝大部分的木马都是在注册表的 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun键下添加一个键值来让木马自动运行。但该木马却没有这样，在RUN键值下没有任何变化，由于木马是基于远程 控制的程序，因此中木马的机器会开有特定的端口。这点是破解的关键，一般一台个人用的 系统在开机后最多只有137、138、139三个端口。 若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027，QQ会打开4000、4001等端口。在DOS命令行下用netstat -na发现了一个可疑端口被占用8225，此木马为内嵌式木马，运行后会在SYSTEM32.DLL内生成一个和系统文件C:WINDOWSsystem32vschost.exe很像的文件SVCHOST.EXE，每次开机后这个文件被自动加载，如果和客户端连上后SVCHOST.EXE每一个进程的线程数迅速增加到100个以上。此时系统运行速度非常慢，CPU占用率急速上升，甚至瘫痪。 通过用IDA反汇编，发现它还偷窃系统密码并建立 %systemroot%systemmapis32a.dll，实际上这个木马多是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进 程上进行正常的木马操作。这样做的好处是没有增加新的文件，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发 出特定的信息后，隐藏的程序就立即开始运作，所以说虽然你可以看到VSCHOST.EXE的路C:WINDOWSsystem32VSCHOST.EXE，但你在这个木录下是跟本查找不到，该木马自带文件捆绑 工具，真是很恐怖。 黑客可以在网上随便找一个小动画或者小程序，把它作为“寄生”的目标。下面说说手工清 除方法：首先要禁止他开机自动运行，点开始--运行，输入msconfig,点确定。在系统配置实用程序里面选启动项，然后把SVCHOST前面的勾去了，点确定后退出，不要忙着重新启动， 当然这一步用WINDOWS优化大师等工具都可以做到。然后再在运行里面输regedit 进入注册表，点编辑---查找--在里面输SVCHOST，把查找到的SVCHOST（注意是大写的）， SVchost.ini，mapis32a.dll，%systemroot%，F4.Jpg全删了，如果没找到就一个个的找， 然后关机，重启，如果你还不方心可以检查你的8225端口是否开着，如果装的有天网直接 就可以看到，没有在DOS下看也可以了，还说一点，木马运行的时候在Windows的任务窗口中是看不到的。不要相信Windows的任务窗口——点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息，在“附件”中)。看其中的软件环境?正在运行的任务。这 才是Windows现在全部运行的任务，看看还有没有SVCHOST.EXE。