返回列表 发帖

灰鸽子的纯手杀[转于1区玛多兰怀念公会论坛]

灰鸽子的纯手动查杀

<---->现在灰鸽子的变种及其的多, 从而造就了一种相当难处理干净的木马. 例如之前11月中旬新出的2005灰鸽子, 能通过截取windows的API实现在文件系统, 进程系统, 服务中的隐藏. 由于灰鸽子的变种很多, 很难保证大家在下载工具查杀的时候中了更新版本灰鸽子. 所以特别推出

首先, 不要认为系统进程中没有异常进程就是安全. 因为新种的灰鸽子能根据服务端的设置, 隐藏在任何一个可能存在的系统进程中.
  
其次, 任何一个版本的灰鸽子, 都会在操作系统的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)下生成一个以"_hook.dll" 结尾的文件

好了, 现在就开始咱们的查杀过程吧.

  第一 ,重新启动计算机, 根据操作系统的不同进入安全模式(98按住Ctrl, 2000以上版本按住F8), 在启动选项菜单里选择"安全模式".
    
  第二, 打开"我的电脑",选择菜单"工具"====> "文件夹选项" , 点击"查看"勾选"隐藏受保护的操作系统文件", 并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹"然后点击"确定"
  
  第三, 打开Windows的"搜索文件" , 文件名称输入"_hook.dll"搜索我的电脑(推荐)
  
  第四, 经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为X_Hook.dll(这个X可能为任何名称)的文件。
  第五, 根据灰鸽子原理分析我们知道,如果X_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有X.exe和X.dll文件. 打开Windows目录, 果然有这两个文件, 同时还可能有一个用于记录键盘操作的XKey.dll文件(盗号的就是它了!).
    
  经过上面的分析, 清除灰鸽子就很容易了. 清除灰鸽子仍然要在安全模式下操作, 主要有两步

1, 清除灰鸽子的服务
2, 删除灰鸽子程序文件.
  
  (注意:为防止误操作,清除前一定要做好备份.)
  
  一、清除灰鸽子的服务

  2000/XP系统:
  
  1, 打开注册表编辑器(点击"开始" ===> "运行", 输入"Regedit" ,确定) 打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
  
  2, 点击菜单"编辑"==> "查找" , "查找目标"输入"X.exe", 点击确定,我们就可以找到灰鸽子的服务项(此例为X_Server).
  3、删除整个X_Server项。
  
  98/me系统:
  
  在9X下, 灰鸽子启动项只有一个, 因此清除更为简单. 运行注册表编辑器, 打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项, 我们立即看到名为Game.exe的一项, 将Game.exe项删除即可.  

  二、删除灰鸽子程序文件
  
  删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的X.exe , X.dll, X_Hook.dll以及X.dll文件, 然后重新启动计算机. 至此, 灰鸽子服务端已经被清除干净.


  最后想说的话: 在internet上,没有任何一台连接了网络的电脑是绝对安全的. 没有任何一个防火墙是万能的. 只有建立良好的自我保护机制, 才能从根本上杜绝木马带来的威胁.



====================关于Mag_HOOK的说明==============
mag_hook.dll (5.1.2600.0)
包含在软件
名字: Windows XP Home Edition, chs
执照: 商业
信息链接: http://www.microsoft.com/windowsxp/
文件细节
文件道路: C:\WINDOWS\system32 \ mag_hook.dll
文件日期: 2002-08-29 14:00:00
版本: 5.1.2600.0
文件大小: 8.192 字节
检查和和文件hashes

CRC32: D4DACE
MD5: da51 a2d4 812a ea76 24b7 04e8 52c1 ddd7

SHA1: 42E9 E42F 09F1 4654 F83C 366F E122 0B7E A201 55A3

版本资源信息

公司名称: Microsoft Corporation

文件描述: Microsoft Magnifier hook library file

文件操作系统: Windows NT, Windows 2000, Windows XP, Windows 2003

文件类型: Application

文件版本: 5.1.2600.0

内部名: Mag_Hook

法律版权: ? Microsoft Corporation. All rights reserved.

原始的文件名: Mag_Hook.dll

产品名称: Microsoft? Windows? Operating System

产品版本: 5.1.2600.0

如果你怀疑Mag_HOOK.DLL是木马,可以用上面的MDR5校验器验证一下,另外Mag_HOOK.DLL的大小是8.2K左右


最近好象很猖狂,不知道对大家有用不

前天中了backdoor.Gaybird.......被我的诺顿KILL了...所以目前无事
     [ffg,#438CCB,#FFFFFF]不为不值得我伤心的人伤心,真正值得我伤心的人一定不会让我伤心[/ft]

TOP

其实我自己还木有杀...特懒了,而且觉得自己不太会中

TOP

值得学习
中过次 后来format diskette了

TOP

讨厌鸽子....
在电脑里杀也杀不掉...
Would your bare your neck ... to the walking dead ...
Secretly, at least, within the safety of your head?
Tell me, isn't it nice - every once in a while -

TOP

旺仔牛奶...

TOP

你们水好了
再水..再水就把你们喝掉

TOP

像谁..

TOP

灭哈哈哈哈~~象不象某人额

坚定的信念  正义的使命  崇高的理想

TOP

原帖由 糖糖 于 2006-5-26 15:44 发表
额...

您的语言太粗糙了

坚定的信念  正义的使命  崇高的理想

TOP

额...

TOP

返回列表