|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-01-14, 01:08 PM | #1 |
榮譽會員
|
灰鴿子,huigezi,GPigeon 解決指導
灰鴿子,huigezi,GPigeon 解決指導
灰鴿子 Vip 2005 清除器 http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip BlackHole&灰鴿子後門專殺工具 http://www.cert.org.cn/articles/tool...51322256.shtml 如果專殺工具沒有發現灰鴿子,請參考下面方法手動式移除 還是針對灰鴿子2005的方法,先找服務,然後移除服務,然後移除文件,三步 用killbox移除不掉。還是在安全模式裡刪 按照下面指導,3步就能徹底移除系統裡的灰鴿子木馬 1. 下載HijackThis掃瞄系統 下載位址: http://www.skycn.com/soft/15753.html zww3008漢化版 http://www.merijn.org/files/hijackthis.zip 英文版 2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項 如最近流行的: O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe 用HijackThis選上面的O23項,然後選項"修復該項"或"Fix checked" 3. 用Killbox移除灰鴿子對應的木馬文件 可以從這裡下載Killbox http://yncnc.onlinedown.net/soft/37257.htm 直接把文件的路徑複製到 Killbox裡移除 通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷 C:\windows\服務名.dll C:\windows\服務名.exe C:\windows\服務名.bat C:\windows\服務名key.dll C:\windows\服務名_hook.dll C:\windows\服務名_hook2.dll 舉例說明: C:\WINDOWS\setemykey.dll C:\WINDOWS\setemy.dll C:\WINDOWS\setemy.exe C:\WINDOWS\setemy_hook.dll C:\WINDOWS\setemy_hook2.dll 用Killbox移除那些木馬文件,由於文件具有隱藏內容,可能無法直接看到,但Killbox能直接移除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經移除就沒關係了 |
__________________ |
|
送花文章: 3,
|
2006-01-15, 08:22 PM | #2 (permalink) |
榮譽會員
|
手動式檢查你的電腦是否有灰鴿子
最近老是被灰鴿子煩惱,汗,家裡剛抓到,服務機構又發現了。這個LJ啊!! 第一步,關閉所有IE,按Ctrl+Alt+Del,選項「工作管理器」,看是否有iexplore.exe,如果有,估計你中獎了,繼續。 第二步,執行cmd,執行下述指令: dir %windir%\*.exe /a:s dir %windir%\*.exe /a:h 如果有文件搜尋到,估計你中獎了,分析:windows在windows目錄下沒有任何可執行文件是隱藏和系統的,把自己隱藏在這裡,非娼即盜,馬上移除吧。(移除方法繼續往下看,下面會有) 第三步,執行serivces.msc 把「描述」欄拉寬一些,這樣看得清楚,然後雙按「描述」這兩個字,按照描述內容排序,大概瀏覽一下,看有沒有符合下面條件的服務。 1 服務名很簡單,大部分形如:xxxx.exe,當然也有其他的,要綜合考慮下面的幾個條件決定; 2 其描述和服務名相同; 3 雙按這個服務,其可執行文件在windows目錄中的一個exe文件; 恭喜,100%中獎了。 第四步,請灰鴿子出去 1 進入windows目錄,點「工具」-「資料夾選項」,選項「檢視」選項,將「隱藏受保護的操作系統檔案(推薦)」前面的勾去掉,還有選「顯示所有文件和資料夾」,確定; 2 在windows目錄中,搜尋第三步中的可執行檔案名,找到後Shift+Del,不要客氣。 3 這樣危險基本上沒有了,不過系統服務裡還有那個東西啊,下面移除系統服務: 執行cmd,然後輸入如下指令: sc delete "那個服務名" 註:雙引號是必須的,而且必須是半形。 sc有的時候不是很好用,有一個程序叫做instsrv.exe,據說在Microsoft增值包裡,不過我沒找到,倒是網上搜尋到了。 使用方法: instsrv.exe "那個服務名" REMOVE 很有效,好了,保重,安全第一。 附:instsrv.exe下載,http://54powerman.ys168.com 系統工具裡 |
送花文章: 3,
|
2006-03-15, 03:26 AM | #3 (permalink) |
榮譽會員
|
HijackThis註冊表惡意程序清除器
圖片: 使用舉例: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ R3 ?Default URLSearchHook is missing 含義: 對於R0、R1、R2中末尾出現的URL位址,如果是您的主頁或搜尋引擎,那就不用管它。如果不是,請用HijcakThis修復。 對於列出的R3項,我們必須始終修復它們,直到它提及一個您認可的程序為止。 編號:F0、 F1-- 代表自動載入的程序 例: F0 - system.ini: Shell=Explorer.exe Openme.exe F1 - win.ini: run=hpfsched 含義: 對於F0中的選項始終是有害的,因此我們必須要修復它們。對於F1項通常是存在很長時間的安全程序,因此您應該根據其檔案名尋找與該檔案有關的更多訊息,以確定它是否有害。 編號:N1、N2、N3、N4--代表Netscape/Mozilla起始頁和搜尋頁 例: N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 含義: 通常情況下,Netacape和Mozilla的主頁及搜尋頁很少被綁架。如果這兩個URL不是您認可的,請用HilackThis修復它。 編號:O1--代表主機文件重轉發IP 例: O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch 含義: 這些綁架程序將通向正確IP位址的位址重轉發IP到錯誤的IP位址。如果IP不屬於該位址,那麼在您每次按鍵輸入該位址時,您將被重轉發IP到一個錯誤的站點。始終用HilackThis修復它們,除非您故意將這些行放到主機文件中。 編號:O2--代表瀏覽器輔助對象 例: O2 - BH Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O2 - BH (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing) O2 - BH MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL 含義: 如果您無法直接識別某個瀏覽器輔助對象的名稱,可以使用TonyK的 BHO 列表 通過類ID(CLSID,位於大括號中的編號)進行尋找,以確定它是無害的還是有害的。在BHO列表中,『X』代表偵探軟體,『L』代表安全。 編號O3--代表IE工作列項 例: O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88}- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL 含義: 如果您不能直接識別工作列的名稱,可以使用TonyK的 工作列列表 通過類ID(CLSID,位於大括號中的編號)進行尋找,以確定它是無害的還是有害的。在工作列列表中,『X』代表偵探軟體,『L』代表安全。 如果它不在列表中,而且其名稱似乎是一個隨機的字元串,並且該檔案位於一個名為『Application Data』的資料夾中的某處(比如上述例子中的最後一個),那麼它肯定是有害的,應該用HilackThis修復它。 編號:O4--代表從註冊表自動載入的程序 例: O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 含義: 04代表啟機時自動載入的程序,你要對系統有一定的瞭解,以確定它們是無害的還是有害的。 編號:O5--使IE選項在控制台中不可見 例: O5 - control.ini: inetcpl.cpl=no 含義: 除非故意隱藏控制台中的圖標,否則用HijackThis修復它。 編號:O6--由管理員限制的對IE選項的訪問 例: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 含義: 限制了對IE選項的訪問,請用HijackThis修復這一項。 編號:O7--由管理員限制的對註冊表編輯器的訪問 例: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 含義: 註冊表編輯被禁用,始終用HijackThis修復這一項。 編號:O8--IE右鍵功能表中的額外項 例: O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm 含義: 如果不能識別IE右鍵功能表中的項目名稱,用HijackThis修復它。 編號:O9--主IE工作列上的額外按鈕,或IE「工具」功能表中的額外項 例: O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: AIM (HKLM) 含義: 如果不能識別按鈕或功能表項的名稱,用hijackThis修復它。 編號:O10--Wincock綁架程序 例: O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll 含義: 最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修復這些項。 編號:O11--IE「進階選項」視窗中的額外組 例: O11 - Options group: [CommonName] CommonName 含義: 現在,惟一將其自身的選項組增加到IE 進階選項視窗中的綁架程序是CommonName。因此您始終可以用HijackThis修復這一項。 編號:O12--IE插件 例: O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll 含義: 大部分時間內,這些項是安全的。只有OnFlow在這裡增加了一個您不想要的插件(.ofb)。 編號:O13--IE DefaultPrefix綁架 例: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? 含義: 這些項始終是有害的。用HijackThis修復它們。 編號:O14--『重置Web設定』綁架 例: O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 含義: 如果該URL不是您電腦的廠商或您的ISP,用HijackThis修復它。 編號:O15--受信任區域中的有害站點 例: O15 - Trusted Zone: http://free.aol.com 含義: 迄今為止,只有AOL傾向於將自身增加到您的受信任區域,從而允許它執行任何它想要執行的ActiveX。始終用HijackThis修復這一項。 編號:016--Active對象(aka 下載的程式文件) 例: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab 含義: 如果您你不能識別對象名稱,或它下載文件的URL,用HijackThis修復它。如果名稱或URL中包含下列單詞,比如『dialer』、『casino』、『free-pludin』等等,那麼一定要修復它。 編號:017--Lop.com域綁架 例: O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 含義: 如果域不是來自您的ISP或公司的網路,用HijackThis修復它。 編號:O18--額外傳輸協定和傳輸協定綁架程序 例: O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 含義: 這裡只顯示了少數綁架程序。惡名昭著的還有『cn』(CommonName),『ayb』(Lop.com)和『relatedlinks』(Huntbar),您應該用Hijackthis修復這些項。 顯示的其他情況要麼是未被驗證為安全的,要麼是被偵探軟體綁架的。如果是後一種情況,用HijackThis修復它。 編號:O19--用戶樣式表綁架 例: O19 - User style sheet: c:\WINDOWS\Java\my.css 含義: 在瀏覽器速度變慢並頻繁彈出各種消息的情況下,如果這一項顯示在日誌中,用HijackThis修復它。 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項 如最近流行的: O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe 用HijackThis選上面的O23項,然後選項"修復該項"或"Fix checked" 3. 用Killbox移除灰鴿子對應的木馬文件 可以從這裡下載Killbox http://yncnc.onlinedown.net/soft/37257.htm 直接把文件的路徑複製到 Killbox裡移除 通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷 C:\windows\服務名.dll C:\windows\服務名.exe C:\windows\服務名.bat C:\windows\服務名key.dll C:\windows\服務名_hook.dll C:\windows\服務名_hook2.dll 舉例說明: C:\WINDOWS\setemykey.dll C:\WINDOWS\setemy.dll C:\WINDOWS\setemy.exe C:\WINDOWS\setemy_hook.dll C:\WINDOWS\setemy_hook2.dll |
送花文章: 3,
|