灰鴿子,huigezi,GPigeon 解決指導

[psac]

灰鴿子,huigezi,GPigeon 解決指導

灰鴿子 Vip 2005 清除器
http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip


BlackHole&灰鴿子後門專殺工具
http://www.cert.org.cn/articles/tool...51322256.shtml



如果專殺工具沒有發現灰鴿子，請參考下面方法手動式移除
還是針對灰鴿子2005的方法，先找服務，然後移除服務，然後移除文件，三步
用killbox移除不掉。還是在安全模式裡刪

按照下面指導,3步就能徹底移除系統裡的灰鴿子木馬

1. 下載HijackThis掃瞄系統
下載位址:
http://www.skycn.com/soft/15753.html zww3008漢化版
http://www.merijn.org/files/hijackthis.zip 英文版

2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項

如最近流行的:


O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe


用HijackThis選上面的O23項,然後選項"修復該項"或"Fix checked"

3. 用Killbox移除灰鴿子對應的木馬文件 可以從這裡下載Killbox
http://yncnc.onlinedown.net/soft/37257.htm


直接把文件的路徑複製到 Killbox裡移除

通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷

C:\windows\服務名.dll
C:\windows\服務名.exe
C:\windows\服務名.bat
C:\windows\服務名key.dll
C:\windows\服務名_hook.dll
C:\windows\服務名_hook2.dll


舉例說明:

C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll


用Killbox移除那些木馬文件,由於文件具有隱藏內容,可能無法直接看到,但Killbox能直接移除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經移除就沒關係了

[psac]

手動式檢查你的電腦是否有灰鴿子

最近老是被灰鴿子煩惱，汗，家裡剛抓到，服務機構又發現了。這個LJ啊！！

第一步，關閉所有IE，按Ctrl+Alt+Del，選項「工作管理器」，看是否有iexplore.exe，如果有，估計你中獎了，繼續。
第二步，執行cmd，執行下述指令：
dir %windir%\*.exe /a:s
dir %windir%\*.exe /a:h
如果有文件搜尋到，估計你中獎了，分析：windows在windows目錄下沒有任何可執行文件是隱藏和系統的，把自己隱藏在這裡，非娼即盜，馬上移除吧。(移除方法繼續往下看，下面會有)
第三步，執行serivces.msc
把「描述」欄拉寬一些，這樣看得清楚，然後雙按「描述」這兩個字，按照描述內容排序，大概瀏覽一下，看有沒有符合下面條件的服務。
1 服務名很簡單，大部分形如：xxxx.exe，當然也有其他的，要綜合考慮下面的幾個條件決定；
2 其描述和服務名相同；
3 雙按這個服務，其可執行文件在windows目錄中的一個exe文件；
恭喜，100%中獎了。
第四步，請灰鴿子出去
1 進入windows目錄，點「工具」-「資料夾選項」，選項「檢視」選項，將「隱藏受保護的操作系統檔案（推薦）」前面的勾去掉，還有選「顯示所有文件和資料夾」，確定；
2 在windows目錄中,搜尋第三步中的可執行檔案名，找到後Shift+Del，不要客氣。
3 這樣危險基本上沒有了，不過系統服務裡還有那個東西啊，下面移除系統服務：
執行cmd，然後輸入如下指令：
sc delete "那個服務名"
註：雙引號是必須的，而且必須是半形。
sc有的時候不是很好用，有一個程序叫做instsrv.exe,據說在Microsoft增值包裡，不過我沒找到，倒是網上搜尋到了。
使用方法：
instsrv.exe "那個服務名" REMOVE
很有效，好了，保重，安全第一。

附：instsrv.exe下載，http://54powerman.ys168.com
系統工具裡

[psac]

HijackThis註冊表惡意程序清除器




圖片：
使用舉例：
　　R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
　　R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
　　R3 ?Default URLSearchHook is missing

　　含義：
　　對於R0、R1、R2中末尾出現的URL位址，如果是您的主頁或搜尋引擎，那就不用管它。如果不是，請用HijcakThis修復。
　　對於列出的R3項，我們必須始終修復它們，直到它提及一個您認可的程序為止。

　　編號：F0、 F1－－ 代表自動載入的程序

　　例：
　　F0 - system.ini: Shell=Explorer.exe Openme.exe
　　F1 - win.ini: run=hpfsched

　　含義：
　　對於F0中的選項始終是有害的，因此我們必須要修復它們。對於F1項通常是存在很長時間的安全程序，因此您應該根據其檔案名尋找與該檔案有關的更多訊息，以確定它是否有害。

　　編號：N1、N2、N3、N4－－代表Netscape/Mozilla起始頁和搜尋頁

　　例：
　　N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
　　N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
　　N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

　　含義：
　　通常情況下，Netacape和Mozilla的主頁及搜尋頁很少被綁架。如果這兩個URL不是您認可的，請用HilackThis修復它。

編號：O1－－代表主機文件重轉發IP

　　例：
　　O1 - Hosts: 216.177.73.139 auto.search.msn.com
　　O1 - Hosts: 216.177.73.139 search.netscape.com
　　O1 - Hosts: 216.177.73.139 ieautosearch

　　含義：
　　這些綁架程序將通向正確IP位址的位址重轉發IP到錯誤的IP位址。如果IP不屬於該位址，那麼在您每次按鍵輸入該位址時，您將被重轉發IP到一個錯誤的站點。始終用HilackThis修復它們，除非您故意將這些行放到主機文件中。

　　編號：O2－－代表瀏覽器輔助對象

　　例：
　　O2 - BH Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
　　O2 - BH (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
　　O2 - BH MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

　　含義：
　　如果您無法直接識別某個瀏覽器輔助對象的名稱，可以使用TonyK的 BHO 列表 通過類ID（CLSID，位於大括號中的編號）進行尋找，以確定它是無害的還是有害的。在BHO列表中，『X』代表偵探軟體，『L』代表安全。

　　編號O3－－代表IE工作列項

　　例：
　　O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88}- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
　　O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
　　O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

　　含義：
　　如果您不能直接識別工作列的名稱，可以使用TonyK的 工作列列表 通過類ID（CLSID，位於大括號中的編號）進行尋找，以確定它是無害的還是有害的。在工作列列表中，『X』代表偵探軟體，『L』代表安全。

　　如果它不在列表中，而且其名稱似乎是一個隨機的字元串，並且該檔案位於一個名為『Application Data』的資料夾中的某處（比如上述例子中的最後一個），那麼它肯定是有害的，應該用HilackThis修復它。

　　編號：O4－－代表從註冊表自動載入的程序

　　例：
　　O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
　　O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
　　O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
　　O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

　　含義：
　　04代表啟機時自動載入的程序，你要對系統有一定的瞭解，以確定它們是無害的還是有害的。

　　編號：O5－－使IE選項在控制台中不可見

　　例：
　　O5 - control.ini: inetcpl.cpl=no

　　含義：
　　除非故意隱藏控制台中的圖標，否則用HijackThis修復它。

　　編號：O6－－由管理員限制的對IE選項的訪問

　　例：
　　O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

　　含義：
　　限制了對IE選項的訪問，請用HijackThis修復這一項。

編號：O7－－由管理員限制的對註冊表編輯器的訪問


　　例：
　　O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

　　含義：
　　註冊表編輯被禁用，始終用HijackThis修復這一項。

　　編號：O8－－IE右鍵功能表中的額外項

　　例：
　　O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
　　O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
　　O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
　　O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

　　含義：
　　如果不能識別IE右鍵功能表中的項目名稱，用HijackThis修復它。

　　編號：O9－－主IE工作列上的額外按鈕，或IE「工具」功能表中的額外項

　　例：
　　O9 - Extra button: Messenger (HKLM)
　　O9 - Extra 'Tools' menuitem: Messenger (HKLM)
　　O9 - Extra button: AIM (HKLM)

　　含義：
　　如果不能識別按鈕或功能表項的名稱，用hijackThis修復它。

　　編號：O10－－Wincock綁架程序

　　例：
　　O10 - Hijacked Internet access by New.Net
　　O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
　　O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

　　含義：
　　最好使用 Cexx.org的LSPFix或Kolla.de的Spybot S&D修復這些項。

　　編號：O11－－IE「進階選項」視窗中的額外組

　　例：
　　O11 - Options group: [CommonName] CommonName

　　含義：
　　現在，惟一將其自身的選項組增加到IE 進階選項視窗中的綁架程序是CommonName。因此您始終可以用HijackThis修復這一項。

　　編號：O12－－IE插件

　　例：
　　O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
　　O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

　　含義：
　　大部分時間內，這些項是安全的。只有OnFlow在這裡增加了一個您不想要的插件（.ofb）。

編號：O13－－IE DefaultPrefix綁架


　　例：
　　O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
　　O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

　　含義：
　　這些項始終是有害的。用HijackThis修復它們。

　　編號：O14－－『重置Web設定』綁架

　　例：
　　O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

　　含義：
　　如果該URL不是您電腦的廠商或您的ISP，用HijackThis修復它。

　　編號：O15－－受信任區域中的有害站點

　　例：
　　O15 - Trusted Zone: http://free.aol.com

　　含義：
　　迄今為止，只有AOL傾向於將自身增加到您的受信任區域，從而允許它執行任何它想要執行的ActiveX。始終用HijackThis修復這一項。

　　編號：016－－Active對象（aka 下載的程式文件）

　　例：
　　O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
　　O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

　　含義：
　　如果您你不能識別對象名稱，或它下載文件的URL，用HijackThis修復它。如果名稱或URL中包含下列單詞，比如『dialer』、『casino』、『free-pludin』等等，那麼一定要修復它。

　　編號：017－－Lop.com域綁架

　　例：
　　O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
　　O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
　　O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
　　O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

　　含義：
　　如果域不是來自您的ISP或公司的網路，用HijackThis修復它。

　　編號：O18－－額外傳輸協定和傳輸協定綁架程序

　　例：
　　O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
　　O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
　　O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

　　含義：
　　這裡只顯示了少數綁架程序。惡名昭著的還有『cn』（CommonName），『ayb』（Lop.com）和『relatedlinks』（Huntbar），您應該用Hijackthis修復這些項。
　　顯示的其他情況要麼是未被驗證為安全的，要麼是被偵探軟體綁架的。如果是後一種情況，用HijackThis修復它。

　　編號：O19－－用戶樣式表綁架

　　例：
　　O19 - User style sheet: c:\WINDOWS\Java\my.css

　　含義：
　　在瀏覽器速度變慢並頻繁彈出各種消息的情況下，如果這一項顯示在日誌中，用HijackThis修復它。

從HijackThis日誌的 O23項可以發現灰鴿子自的服務項

如最近流行的:


O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe


用HijackThis選上面的O23項,然後選項"修復該項"或"Fix checked"

3. 用Killbox移除灰鴿子對應的木馬文件 可以從這裡下載Killbox
http://yncnc.onlinedown.net/soft/37257.htm


直接把文件的路徑複製到 Killbox裡移除

通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷

C:\windows\服務名.dll
C:\windows\服務名.exe
C:\windows\服務名.bat
C:\windows\服務名key.dll
C:\windows\服務名_hook.dll
C:\windows\服務名_hook2.dll


舉例說明:

C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll