灰鴿子2006手動式查殺

psac · 2006-04-02, 10:10 AM

灰鴿子2006手動式查殺

灰鴿子2006手動式查殺
netpatch 2006/03/31
如需轉載，請保留作者訊息！

今天朋友電腦中招了，叫我幫忙查查。
雖然卡巴報警了，但是沒有清除掉，上網GOOGLE下，也沒發現灰鴿子2006的查殺方法
灰鴿子專殺0.52也沒能查到。
所以寫了下這文章，希望對中招的朋友有說明！

判斷方法
開始》》執行》》輸入CMD Enter鍵
按下面順序執行如下指令
cd \ Enter鍵
dir *.dll，*.exe /A:S /s （等待搜尋）

如果真的是中灰鴿子，那麼會在搜尋結果中出現兩個DLL文件，一個EXE

兩DLL是：
一個是XXXXXX.dll
一個是XXXXXXkey.dll

EXE是：
XXXXXX.EXE

且產生日期是一樣，時間就在1分鍾中內的差別！

如果符合以上訊息，那麼可以恭喜你，你中招了！

手動式查殺
首先我們已經定位了其安裝名是XXXXXX.exe了！
我們只要找相應的系統服務就行了！
由於鴿子2006採取了隱藏工作、註冊表、相應系統服務的方式，使我們用正常的方法是沒辦法看到的！
開啟IceSword1.12
結束相關IE工作！
檢視服務項目
找到使用XXXXXX.EXE文件的服務！（一個快捷搜尋方法：找服務啟動方式為：「自啟動」但服務已停止的！）
找到後，記住服務名
然後移除該服務！
移除方法：

SC移除法
sc delete service_name

或用我寫的批處版SC移除
移除方法：np service_name /x

然後用IceSwrod1.12找到並移除XXXXXX.dll，XXXXXXkey.dll，XXXXXX.EXE三個文件！
鴿子2006就從你的電腦上清除了！

psac · 2006-04-22, 07:32 PM

怎麼樣清除灰鴿子

手動式清除方法
這個木馬具說是才編的，對方是一個專門靠開發木馬的獄之門伙，（哈哈，聽起還蠻厲害的）我斷網後用了現目今所有查木馬的軟體，包括木馬終結者，The Cleaner 3.1,諾盾，金山等都查不出來（但是後來我發現如果用正版KV3000在純DOS下應該可以查殺，還沒試過），此木馬執行後除了可以執行Windows所有功來外，甚至連你的一舉一動包括你用QQ和別人聊天的內容都可以監聽，是有點可怕哈~~！至今為止絕大部分的木馬都是在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵下增加一個鍵值來讓木馬自動執行。

但該木馬卻沒有這樣，在RUN鍵值下沒有任何變化，由於木馬是關於遠端控制的程序，因此中木馬的機器會開有特定的連接阜。這點是破解的關鍵，一般一台個人用的系統在開機後最多只有137、138、139三個連接阜。若上網衝浪會有其他連接阜，這是本地機與網上主機通訊時開啟的，IE一般會開啟連續的連接阜:1025，1026，1027……，QQ會開啟4000、4001……等連接阜。我在DOS指令行下用netstat -na發現了一個可疑連接阜被佔用8225，此木馬為內嵌式木馬，執行後會在SYSTEM32.DLL內產生一個和系統檔案C:\WINDOWS\system32\vschost.exe很像的文件SVCHOST.EXE，每次開機後這個文件被自動載入，如果和客戶端連上後SVCHOST.EXE每一個工作的執行緒數迅速增加到100個以上。此時系統執行速度非常慢，CPU佔用率急速上升，甚至癱瘓。

通過用IDA反彙編，發現它還偷竊系統密碼並建立 %systemroot%\system\mapis32a.dll，（我QQ就是這樣被盜的），實際上這個木馬多是使用DLL進行監聽，一旦發現控制端的連接請求就啟動自身，綁在一個工作上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，沒有新的工作，使用一般的方法監測不到它，在正常執行時木馬幾乎沒有任何症狀，而一旦木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作，所以說雖然你可以看到VSCHOST.EXE的路C:\WINDOWS\system32\VSCHOST.EXE，但你在這個木錄下是跟本搜尋不到，該木馬原有的文件元件服務工具，真是很恐怖。黑客可以在網上隨便找一個小動畫或者小程序，把它作為「寄生」的目標。

下面說說手動式清除方法：首先要禁止他開機自動執行，點開始--執行，輸入msconfig,點確定。在系統組態實用程序裡面選啟動項，然後把SVCHOST前面的勾去了，點確定後結束，不要忙著重新啟動，當然這一步用WINDOWS最佳化大師等工具都可以做到。

然後再在執行裡面輸regedit 進入註冊表，點編輯---搜尋--在裡面輸SVCHOST，把搜尋到的SVCHOST（注意是大寫的），SVchost.ini，mapis32a.dll，%systemroot%，F4.Jpg全刪了，如果沒找到就一個個的找，然後關機，重啟，如果你還不方心可以檢查你的8225連接阜是否開著，如果裝的有天網直接就可以看到，沒有在DOS下看也可以了，還說一點，木馬執行的時候在Windows的工作視窗中是看不到的。

不要相信Windows的工作視窗——點工作條上的「開始」、「執行」、「msinfo32」(就是Windows原有的的系統資訊，在「附件」中)。

看其中的軟體環境→正在執行的工作。

這才是Windows現在全部執行的工作，看看還有沒有SVCHOST.EXE。這樣就大功告成了!

灰鴿子專殺v0.52

灰鴿子專殺簡介：本工具為純綠色工具,軟體採用獨特的查殺技巧可完全查殺灰鴿子全系列(VIP2005、vip2006、免殺處理)木馬,本軟體已經過嚴格測試,備用本工具可以讓您免受灰鴿子木馬的困饒.更新內容：軟體增加在線更新功能,增加對VIP2006系列及免殺處理的鴿子的查殺，解決對虛擬光碟的誤殺問題。v0.5系列可直接在線更新到v0.52版。

官方下載頁面
http://www.mmsk.cn/

未來軟體園下載頁面(下載後請昇級)
http://www.orsoon.com/Software/catalog179/5265.html

2006-04-02, 10:10 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	灰鴿子2006手動式查殺灰鴿子2006手動式查殺灰鴿子2006手動式查殺 netpatch 2006/03/31 如需轉載，請保留作者訊息！今天朋友電腦中招了，叫我幫忙查查。雖然卡巴報警了，但是沒有清除掉，上網GOOGLE下，也沒發現灰鴿子2006的查殺方法灰鴿子專殺0.52也沒能查到。所以寫了下這文章，希望對中招的朋友有說明！判斷方法開始》》執行》》輸入CMD Enter鍵按下面順序執行如下指令 cd \ Enter鍵 dir .dll，.exe /A:S /s （等待搜尋）如果真的是中灰鴿子，那麼會在搜尋結果中出現兩個DLL文件，一個EXE 兩DLL是：一個是XXXXXX.dll 一個是XXXXXXkey.dll EXE是： XXXXXX.EXE 且產生日期是一樣，時間就在1分鍾中內的差別！如果符合以上訊息，那麼可以恭喜你，你中招了！手動式查殺首先我們已經定位了其安裝名是XXXXXX.exe了！我們只要找相應的系統服務就行了！由於鴿子2006採取了隱藏工作、註冊表、相應系統服務的方式，使我們用正常的方法是沒辦法看到的！開啟IceSword1.12 結束相關IE工作！檢視服務項目找到使用XXXXXX.EXE文件的服務！（一個快捷搜尋方法：找服務啟動方式為：「自啟動」但服務已停止的！）找到後，記住服務名然後移除該服務！移除方法： SC移除法 sc delete service_name 或用我寫的批處版SC移除移除方法：np service_name /x 然後用IceSwrod1.12找到並移除XXXXXX.dll，XXXXXXkey.dll，XXXXXX.EXE三個文件！鴿子2006就從你的電腦上清除了！
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-04-22, 07:32 PM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	怎麼樣清除灰鴿子手動式清除方法這個木馬具說是才編的，對方是一個專門靠開發木馬的獄之門伙，（哈哈，聽起還蠻厲害的）我斷網後用了現目今所有查木馬的軟體，包括木馬終結者，The Cleaner 3.1,諾盾，金山等都查不出來（但是後來我發現如果用正版KV3000在純DOS下應該可以查殺，還沒試過），此木馬執行後除了可以執行Windows所有功來外，甚至連你的一舉一動包括你用QQ和別人聊天的內容都可以監聽，是有點可怕哈~~！至今為止絕大部分的木馬都是在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵下增加一個鍵值來讓木馬自動執行。但該木馬卻沒有這樣，在RUN鍵值下沒有任何變化，由於木馬是關於遠端控制的程序，因此中木馬的機器會開有特定的連接阜。這點是破解的關鍵，一般一台個人用的系統在開機後最多只有137、138、139三個連接阜。若上網衝浪會有其他連接阜，這是本地機與網上主機通訊時開啟的，IE一般會開啟連續的連接阜:1025，1026，1027……，QQ會開啟4000、4001……等連接阜。我在DOS指令行下用netstat -na發現了一個可疑連接阜被佔用8225，此木馬為內嵌式木馬，執行後會在SYSTEM32.DLL內產生一個和系統檔案C:\WINDOWS\system32\vschost.exe很像的文件SVCHOST.EXE，每次開機後這個文件被自動載入，如果和客戶端連上後SVCHOST.EXE每一個工作的執行緒數迅速增加到100個以上。此時系統執行速度非常慢，CPU佔用率急速上升，甚至癱瘓。通過用IDA反彙編，發現它還偷竊系統密碼並建立 %systemroot%\system\mapis32a.dll，（我QQ就是這樣被盜的），實際上這個木馬多是使用DLL進行監聽，一旦發現控制端的連接請求就啟動自身，綁在一個工作上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，沒有新的工作，使用一般的方法監測不到它，在正常執行時木馬幾乎沒有任何症狀，而一旦木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作，所以說雖然你可以看到VSCHOST.EXE的路C:\WINDOWS\system32\VSCHOST.EXE，但你在這個木錄下是跟本搜尋不到，該木馬原有的文件元件服務工具，真是很恐怖。黑客可以在網上隨便找一個小動畫或者小程序，把它作為「寄生」的目標。下面說說手動式清除方法：首先要禁止他開機自動執行，點開始--執行，輸入msconfig,點確定。在系統組態實用程序裡面選啟動項，然後把SVCHOST前面的勾去了，點確定後結束，不要忙著重新啟動，當然這一步用WINDOWS最佳化大師等工具都可以做到。然後再在執行裡面輸regedit 進入註冊表，點編輯---搜尋--在裡面輸SVCHOST，把搜尋到的SVCHOST（注意是大寫的），SVchost.ini，mapis32a.dll，%systemroot%，F4.Jpg全刪了，如果沒找到就一個個的找，然後關機，重啟，如果你還不方心可以檢查你的8225連接阜是否開著，如果裝的有天網直接就可以看到，沒有在DOS下看也可以了，還說一點，木馬執行的時候在Windows的工作視窗中是看不到的。不要相信Windows的工作視窗——點工作條上的「開始」、「執行」、「msinfo32」(就是Windows原有的的系統資訊，在「附件」中)。看其中的軟體環境→正在執行的工作。這才是Windows現在全部執行的工作，看看還有沒有SVCHOST.EXE。這樣就大功告成了! 灰鴿子專殺v0.52 灰鴿子專殺簡介：本工具為純綠色工具,軟體採用獨特的查殺技巧可完全查殺灰鴿子全系列(VIP2005、vip2006、免殺處理)木馬,本軟體已經過嚴格測試,備用本工具可以讓您免受灰鴿子木馬的困饒.更新內容：軟體增加在線更新功能,增加對VIP2006系列及免殺處理的鴿子的查殺，解決對虛擬光碟的誤殺問題。v0.5系列可直接在線更新到v0.52版。官方下載頁面 http://www.mmsk.cn/ 未來軟體園下載頁面(下載後請昇級) http://www.orsoon.com/Software/catalog179/5265.html

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告