1   1  /  1  页   跳转

[求助] 我也是灰鸽子

我也是灰鸽子

用过木马清除大师灰鸽子专杀,看到:“病毒路径”显示“灰鸽子隐藏服务:@5-|”(后面像个小小的7字),病毒名称:BackDoor.Win32.GrayBird.Gen,显示清除服务成功,但退出后再杀又显示了,然后木马清除大师全盘扫描了,找出很多木马,全部手动删除了,重装系统,灰鸽子还在。。。

以下是我Hijackthis的分析记录:
日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 18:10:49,2010/1/27
操作系统: Unknown Windows (WinNT 6.01.3504)
IE版本: Internet Explorer v8.00 (8.00.7600.16385)
启动模式: 正常

正在运行的进程:
J:\GPDetect.exe
C:\Users\DRAGON\Desktop\GraybirdKill.exe
C:\Users\DRAGON\Desktop\GraybirdKill.exe
D:\Kill\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\Windows\system32\Userinit.exe
O13 - Gopher Prefix:
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\Windows\SysWOW64\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\Windows\System32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\Windows\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\Windows\SysWOW64\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\Windows\System32\itss.dll
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\Windows\SysWOW64\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll
O23 - NT 服务:  @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe(文件不存在)
O23 - NT 服务:  @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe(文件不存在)
O23 - NT 服务:  @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe(文件不存在)
O23 - NT 服务:  @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe(文件不存在)
O23 - NT 服务:  @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe(文件不存在)
O23 - NT 服务:  @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe(文件不存在)
O23 - NT 服务:  @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe(文件不存在)
O23 - NT 服务:  @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe(文件不存在)
O23 - NT 服务:  @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe(文件不存在)
O23 - NT 服务:  @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe(文件不存在)
O23 - NT 服务:  @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe(文件不存在)
O23 - NT 服务:  @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe(文件不存在)
O23 - NT 服务:  @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe(文件不存在)
O23 - NT 服务:  @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe(文件不存在)
O23 - NT 服务:  @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe(文件不存在)
O23 - NT 服务:  @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe(文件不存在)
O23 - NT 服务:  @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe(文件不存在)
O23 - NT 服务:  @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe(文件不存在)
O23 - NT 服务:  @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe(文件不存在)
O23 - NT 服务:  木马清除大师配置xxx - Unknown owner - C:\Program Files (x86)\木马清除大师2009\BeatTrojanSvc.exe(文件不存在)

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)
分享到:
gototop
 

回复:我也是灰鸽子

下载Sreng(http://www.kztechs.com/sreng/download.html)

打开Sreng.exe==>智能扫描==>勾选 检查进程模块的数字签名==>点 扫描==>扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把SREng.LOG以附件的形式发上来

要是Sreng.exe不能运行,直接重命名为123.bat运行
PM偶时请附上求助贴的地址...
gototop
 

回复:我也是灰鸽子

清除灰鸽子仍然要在安全模式下操作,主要有两步:
  1、清除灰鸽子的服务;
  2、删除灰鸽子程序文件。
  注意:为防止误操作,清除前一定要做好备份。
  (一)、清除灰鸽子的服务
  注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
  2000/XP系统:
  1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
  2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
  3、删除整个Game_Server项。
  98/me系统:
  在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
  (二)、删除灰鸽子程序文件
  删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
  以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。
  四、防止中灰鸽子病毒需要注意的事项
  1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
  2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
  3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护
  4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
  . 下载HijackThis扫描系统
  与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。专家称,“熊猫烧香”还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者却毫不知情。从某种意义上讲,“灰鸽子”的危害及危险程度超出“熊猫烧香”10倍。
  “灰鸽子”如何控制电脑牟利
  “黑客培训班”教网民通过“灰鸽子”控制别人电脑,“学费”最高200元,最低需要50元,学时一周到一个月不等。
  黑客通过程序控制他人电脑后,将“肉鸡”倒卖给广告商,“肉鸡”的价格在1角到1元不等。资深贩子一个月内可以贩卖10万个“肉鸡”。
  被控制电脑被随意投放广告,或者干脆控制电脑点击某网站广告,一举一动都能被监视。
  直接把文件的路径复制到 Killbox里删除
  通常都是下面这样的文件 "服务名"具体通过HijackThis判断
  C:\windows\服务名.dll
  C:\windows\服务名.exe
  C:\windows\服务名.bat
  C:\windows\服务名key.dll
  C:\windows\服务名_hook.dll
  C:\windows\服务名_hook2.dll
  举例说明:
  C:\WINDOWS\setemykey.dll
  C:\WINDOWS\setemy.dll
  C:\WINDOWS\setemy.exe
  C:\WINDOWS\setemy_hook.dll
  C:\WINDOWS\setemy_hook2.dll
  用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了
  灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
  1.网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;
  2.邮件传播:灰鸽子被捆绑在邮件附件中进行传播;
  3.IM聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
  4.非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
  以上他们做了命名规则解释,去下载一个木马杀客灰鸽子专杀,清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件,参见上面回答者
  软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具
  界面语言: 简体中文
  软件类型: 国产软件
  运行环境: /Win9X/Me/WinNT/2000/XP/2003
  授权方式: 免费软件
  软件大小: 414KB
  软件简介: 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
  运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务
gototop
 

回复:我也是灰鸽子

请LZ先在安全模式下杀毒
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT