史萊姆論壇 - 查看單個文章

psac · 2006-04-22, 07:32 PM

怎麼樣清除灰鴿子

手動式清除方法
這個木馬具說是才編的，對方是一個專門靠開發木馬的獄之門伙，（哈哈，聽起還蠻厲害的）我斷網後用了現目今所有查木馬的軟體，包括木馬終結者，The Cleaner 3.1,諾盾，金山等都查不出來（但是後來我發現如果用正版KV3000在純DOS下應該可以查殺，還沒試過），此木馬執行後除了可以執行Windows所有功來外，甚至連你的一舉一動包括你用QQ和別人聊天的內容都可以監聽，是有點可怕哈~~！至今為止絕大部分的木馬都是在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵下增加一個鍵值來讓木馬自動執行。

但該木馬卻沒有這樣，在RUN鍵值下沒有任何變化，由於木馬是關於遠端控制的程序，因此中木馬的機器會開有特定的連接阜。這點是破解的關鍵，一般一台個人用的系統在開機後最多只有137、138、139三個連接阜。若上網衝浪會有其他連接阜，這是本地機與網上主機通訊時開啟的，IE一般會開啟連續的連接阜:1025，1026，1027……，QQ會開啟4000、4001……等連接阜。我在DOS指令行下用netstat -na發現了一個可疑連接阜被佔用8225，此木馬為內嵌式木馬，執行後會在SYSTEM32.DLL內產生一個和系統檔案C:\WINDOWS\system32\vschost.exe很像的文件SVCHOST.EXE，每次開機後這個文件被自動載入，如果和客戶端連上後SVCHOST.EXE每一個工作的執行緒數迅速增加到100個以上。此時系統執行速度非常慢，CPU佔用率急速上升，甚至癱瘓。

通過用IDA反彙編，發現它還偷竊系統密碼並建立 %systemroot%\system\mapis32a.dll，（我QQ就是這樣被盜的），實際上這個木馬多是使用DLL進行監聽，一旦發現控制端的連接請求就啟動自身，綁在一個工作上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，沒有新的工作，使用一般的方法監測不到它，在正常執行時木馬幾乎沒有任何症狀，而一旦木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作，所以說雖然你可以看到VSCHOST.EXE的路C:\WINDOWS\system32\VSCHOST.EXE，但你在這個木錄下是跟本搜尋不到，該木馬原有的文件元件服務工具，真是很恐怖。黑客可以在網上隨便找一個小動畫或者小程序，把它作為「寄生」的目標。

下面說說手動式清除方法：首先要禁止他開機自動執行，點開始--執行，輸入msconfig,點確定。在系統組態實用程序裡面選啟動項，然後把SVCHOST前面的勾去了，點確定後結束，不要忙著重新啟動，當然這一步用WINDOWS最佳化大師等工具都可以做到。

然後再在執行裡面輸regedit 進入註冊表，點編輯---搜尋--在裡面輸SVCHOST，把搜尋到的SVCHOST（注意是大寫的），SVchost.ini，mapis32a.dll，%systemroot%，F4.Jpg全刪了，如果沒找到就一個個的找，然後關機，重啟，如果你還不方心可以檢查你的8225連接阜是否開著，如果裝的有天網直接就可以看到，沒有在DOS下看也可以了，還說一點，木馬執行的時候在Windows的工作視窗中是看不到的。

不要相信Windows的工作視窗——點工作條上的「開始」、「執行」、「msinfo32」(就是Windows原有的的系統資訊，在「附件」中)。

看其中的軟體環境→正在執行的工作。

這才是Windows現在全部執行的工作，看看還有沒有SVCHOST.EXE。這樣就大功告成了!

灰鴿子專殺v0.52

灰鴿子專殺簡介：本工具為純綠色工具,軟體採用獨特的查殺技巧可完全查殺灰鴿子全系列(VIP2005、vip2006、免殺處理)木馬,本軟體已經過嚴格測試,備用本工具可以讓您免受灰鴿子木馬的困饒.更新內容：軟體增加在線更新功能,增加對VIP2006系列及免殺處理的鴿子的查殺，解決對虛擬光碟的誤殺問題。v0.5系列可直接在線更新到v0.52版。

官方下載頁面
http://www.mmsk.cn/

未來軟體園下載頁面(下載後請昇級)
http://www.orsoon.com/Software/catalog179/5265.html

2006-04-22, 07:32 PM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	怎麼樣清除灰鴿子手動式清除方法這個木馬具說是才編的，對方是一個專門靠開發木馬的獄之門伙，（哈哈，聽起還蠻厲害的）我斷網後用了現目今所有查木馬的軟體，包括木馬終結者，The Cleaner 3.1,諾盾，金山等都查不出來（但是後來我發現如果用正版KV3000在純DOS下應該可以查殺，還沒試過），此木馬執行後除了可以執行Windows所有功來外，甚至連你的一舉一動包括你用QQ和別人聊天的內容都可以監聽，是有點可怕哈~~！至今為止絕大部分的木馬都是在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵下增加一個鍵值來讓木馬自動執行。但該木馬卻沒有這樣，在RUN鍵值下沒有任何變化，由於木馬是關於遠端控制的程序，因此中木馬的機器會開有特定的連接阜。這點是破解的關鍵，一般一台個人用的系統在開機後最多只有137、138、139三個連接阜。若上網衝浪會有其他連接阜，這是本地機與網上主機通訊時開啟的，IE一般會開啟連續的連接阜:1025，1026，1027……，QQ會開啟4000、4001……等連接阜。我在DOS指令行下用netstat -na發現了一個可疑連接阜被佔用8225，此木馬為內嵌式木馬，執行後會在SYSTEM32.DLL內產生一個和系統檔案C:\WINDOWS\system32\vschost.exe很像的文件SVCHOST.EXE，每次開機後這個文件被自動載入，如果和客戶端連上後SVCHOST.EXE每一個工作的執行緒數迅速增加到100個以上。此時系統執行速度非常慢，CPU佔用率急速上升，甚至癱瘓。通過用IDA反彙編，發現它還偷竊系統密碼並建立 %systemroot%\system\mapis32a.dll，（我QQ就是這樣被盜的），實際上這個木馬多是使用DLL進行監聽，一旦發現控制端的連接請求就啟動自身，綁在一個工作上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，沒有新的工作，使用一般的方法監測不到它，在正常執行時木馬幾乎沒有任何症狀，而一旦木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作，所以說雖然你可以看到VSCHOST.EXE的路C:\WINDOWS\system32\VSCHOST.EXE，但你在這個木錄下是跟本搜尋不到，該木馬原有的文件元件服務工具，真是很恐怖。黑客可以在網上隨便找一個小動畫或者小程序，把它作為「寄生」的目標。下面說說手動式清除方法：首先要禁止他開機自動執行，點開始--執行，輸入msconfig,點確定。在系統組態實用程序裡面選啟動項，然後把SVCHOST前面的勾去了，點確定後結束，不要忙著重新啟動，當然這一步用WINDOWS最佳化大師等工具都可以做到。然後再在執行裡面輸regedit 進入註冊表，點編輯---搜尋--在裡面輸SVCHOST，把搜尋到的SVCHOST（注意是大寫的），SVchost.ini，mapis32a.dll，%systemroot%，F4.Jpg全刪了，如果沒找到就一個個的找，然後關機，重啟，如果你還不方心可以檢查你的8225連接阜是否開著，如果裝的有天網直接就可以看到，沒有在DOS下看也可以了，還說一點，木馬執行的時候在Windows的工作視窗中是看不到的。不要相信Windows的工作視窗——點工作條上的「開始」、「執行」、「msinfo32」(就是Windows原有的的系統資訊，在「附件」中)。看其中的軟體環境→正在執行的工作。這才是Windows現在全部執行的工作，看看還有沒有SVCHOST.EXE。這樣就大功告成了! 灰鴿子專殺v0.52 灰鴿子專殺簡介：本工具為純綠色工具,軟體採用獨特的查殺技巧可完全查殺灰鴿子全系列(VIP2005、vip2006、免殺處理)木馬,本軟體已經過嚴格測試,備用本工具可以讓您免受灰鴿子木馬的困饒.更新內容：軟體增加在線更新功能,增加對VIP2006系列及免殺處理的鴿子的查殺，解決對虛擬光碟的誤殺問題。v0.5系列可直接在線更新到v0.52版。官方下載頁面 http://www.mmsk.cn/ 未來軟體園下載頁面(下載後請昇級) http://www.orsoon.com/Software/catalog179/5265.html
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次