|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2005-12-28, 01:32 AM | #1 |
榮譽會員
|
新版灰鴿子的查殺方法
1、展開:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/
移除:mchInjDrv 2、展開:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ 移除:virtual 3、展開:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet002/Services/ 移除:mchInjDrv 4、展開:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet002/Services/ 移除:virtual 5、重啟系統。此時,灰鴿子新增的文件及資料夾已全部可見。移除C:/WINDOWS/Internet Explorer/資料夾中的所有文件,最後,移除這個資料夾 |
__________________ |
|
送花文章: 3,
|
2006-04-04, 05:12 PM | #3 (permalink) |
榮譽會員
|
灰鴿子2006VIP親密接觸-分析-清除
灰鴿子於3月3日推出了2006VIP版,其功能大大超越了05以前的版本,特別是在服務端載入項的隱藏上真正可以說做到了無色無味,下面我將從它的服務端組態的選項,分析它的載入象和怎麼判斷以及清除的方法來詳細說明。 服務端的組態(從中可以瞭解一些它的一些特性)。 它的組態除了繼承了05所有的功能以外,還增加了隱藏服務項的功能,這給判斷是否中灰鴿子上設立了障礙,請看下圖: 由於它不單隱藏了工作還隱藏了服務,傳統的使用HIJACKTHIS掃瞄判斷是否中灰鴿子的方法已經失效! http://bbs.52happy.net/attachment/Mon_0603/110_8365_adb7590a0b710d8.gif[/IMG] 載入和判斷 06版和05以前的版本一樣,都是使用服務載入啟動,並插入IE工作,所不同的是新版隱藏了幾乎所有的載入項目,包括工作,文件,06版還增加了服務的隱藏,可以說作到了真正的隱身,使你豪無察覺,但再狡猾的狐狸也逃不出好獵手的手掌,下面我將說明怎麼才知道判斷中了灰鴿子它和以前的版本一樣,都是要插入IE工作執行,所以開放連接阜是沒辦法隱藏的,OK,那我們就用Tcpview看看,請看下圖: 關閉你所有的IE工作後,如果發現仍然有IE在某個連接阜監聽,這就說明即使你沒用中鴿子也是中了其它的後門。大家都知道灰鴿子是使用服務載入,06以前的版本其服務是沒有隱藏的,使用hijackthis一下就可以掃瞄出來,但06版服務是完全隱藏的,只有使用IceSword底層掃瞄工具才可以是它顯形,即使直接從管理-服務裡也無從搜尋,這個就是06版最大的亮點,請看下圖: 搜尋註冊表後才能找到其載入的服務,但由於其服務名稱可以自訂,給搜尋判斷帶來了很大的困難,下圖是我使用預設值名稱搜尋到的,其位置在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 清除 綜上所描,06版的清除要比舊版困難的多,其難點就在於服務項的判斷和移除,由於可以自訂服務項的名稱,傳統的掃瞄判斷方法都已經失效,這給清除它帶來了重重阻礙,建議做如下判斷和清除處理: 1。 使用Tcpview檢視是否有可疑的IE連接阜開啟,鴿子的預設值連接阜為8000,但也可以自訂,一點發現有可疑連接阜說明你已經中後門, 2 。使用IceSword檢視系統服務項,由於IceSword是一款系統底層安全掃瞄器,所以可疑的系統服務等載入都顯示無疑,如果發現有紅色顯示就說明你已經被某個載入到服務裡啟動的後門程序所控制,記下它的服務名稱。 3 。開啟註冊表找直接置在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\再找到使用IceSword所搜尋到的服務項目,找到後展開它記下這項服務所載入的檔案名稱後整個移除其載入的註冊表值。 4 。移除註冊表載入的服務項值以後重新啟動進入安全模式,開啟隱藏的文件和系統保護的隱藏文件,搜尋剛才所在註冊表裡找到並記下的文件和它所解壓縮的DLL文件,例如 ***.exe ***.dll ***_hook.dll ***Key.DLL 全部移除。 至此,灰鴿子已經完全清除完畢。 |
送花文章: 3,
|
2006-05-23, 04:14 AM | #4 (permalink) |
榮譽會員
|
灰鴿子,huigezi,GPigeon 解決指導
灰鴿子 Vip 2005 清除器 http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip BlackHole&灰鴿子後門專殺工具 http://www.cert.org.cn/articles/tool...51322256.shtml 如果專殺工具沒有發現灰鴿子,請參考下面方法手動式移除 按照下面指導,3步就能徹底移除系統裡的灰鴿子木馬 1. 下載HijackThis掃瞄系統 下載位址: http://www.skycn.com/soft/15753.html zww3008漢化版 http://www.merijn.org/files/hijackthis.zip 英文版 2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項 如最近流行的: O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe 用HijackThis選上面的O23項,然後選項"修復該項"或"Fix checked" 3. 用Killbox移除灰鴿子對應的木馬文件 可以從這裡下載Killbox http://yncnc.onlinedown.net/soft/37257.htm 直接把文件的路徑複製到 Killbox裡移除 通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷 C:\windows\服務名.dll C:\windows\服務名.exe C:\windows\服務名.bat C:\windows\服務名key.dll C:\windows\服務名_hook.dll C:\windows\服務名_hook2.dll 舉例說明: C:\WINDOWS\setemykey.dll C:\WINDOWS\setemy.dll C:\WINDOWS\setemy.exe C:\WINDOWS\setemy_hook.dll C:\WINDOWS\setemy_hook2.dll 用Killbox移除那些木馬文件,由於文件具有隱藏內容,可能無法直接看到,但Killbox能直接移除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經移除就沒關係了 |
送花文章: 3,
|
2006-06-01, 01:27 PM | #5 (permalink) |
榮譽會員
|
關於灰鴿子
首先,我們承認灰鴿子是一款遠端控制軟件,但是,與其它一些公認的遠控軟件是有一定差別的。 其一: 1、Symantec PcAnywhere 2、NetOp Remote Control 3、Network LookOut Administrator 4、VNC Enterprise Edition 5、Desktop Authority 以上遠控軟件的服務端在安裝後可以通過簡單的瀏覽方式找到,而灰鴿子並不能通過簡單方法找到。 其二: 1、Symantec PcAnywhere 2、NetOp Remote Control 3、Network LookOut Administrator 4、VNC Enterprise Edition 5、Desktop Authority 以撒和那個遠控軟件的顯示訊息、服務名稱、描述訊息等,都不是可以自訂製的,都起到了一個告知作用。而灰鴿子的高度可訂製性 可以使用戶更改如上訊息,從而可能會誤導用戶對此服務或程式的理解。 其三: 1、Symantec PcAnywhere 2、NetOp Remote Control 3、Network LookOut Administrator 4、VNC Enterprise Edition 5、Desktop Authority 以上遠控軟件的工作行程均可以從任務管理器的工作行程選擇項中看到,並且伴隨工作列欄圖示,能直觀的告訴用戶正在被控中。而灰鴿子通過 訂製自身是否隱藏工作列欄圖示、是否隱藏工作行程,可以達到隱藏自身工作行程的目的,從而難以讓用戶發現。 其四: 1、Symantec PcAnywhere 2、NetOp Remote Control 3、Network LookOut Administrator 4、VNC Enterprise Edition 5、Desktop Authority 以上遠控軟件若為原廠原版,則其安裝程式的圖示為一固定樣式模板,多以代表該廠為主。而灰鴿子的服務端安裝圖示不通過訂製,就顯 示為一枚Windows徽標,一般情況,在系統中代表一個不能執行的程式或一個無法打開的文件。若通過訂製,則其圖示五花八門,很容易迷惑個 人用戶。 其五: 1、Symantec PcAnywhere 2、NetOp Remote Control 3、Network LookOut Administrator 4、VNC Enterprise Edition 5、Desktop Authority 以上遠控軟件均無攝像頭監控功能,而灰鴿子具有。 我們使用與控軟件一般是用於遠端協助以及網路維護,不是要看用戶在哪裡、是男是女、更不關心他/她/它的相貌是否好看、在幹什麼。 所以,我認為灰鴿子在遠控軟件中,已經不單純的是一個用於幫助管理的工具,而是可以用來窺探個人真實世界隱私的幫兇。 |
送花文章: 3,
|
2006-06-10, 01:24 PM | #6 (permalink) |
榮譽會員
|
處理範例:
Q: 菜鳥來了,論壇中鴿子偶中招 昨天論壇的廣告我中招了,文件 我已經版主說的刪除,可服務不懂了,那個 大俠幫我看下,什麼操作的也幫我說下,謝謝了 剛打開這個論壇網頁,還沒有登入就中灰鴿子了。 QUOTE: Logfile of HijackThis v1.99.1 Scan saved at 21:48:21, on 2006-6-9 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\PROGRA~1\SKYNET\FIREWALL\PFW.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Tencent\QQ\QQ.exe C:\Program Files\Tencent\QQ\TIMPlatform.exe C:\Program Files\Maxthon\max.exe C:\Program Files\Thunder Network\Thunder\Thunder.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\lwm\LOCALS~1\Temp\Rar$EX00.922\HijackThis.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v8.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: 百度超級搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\PFW.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: 騰訊QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe O8 - Extra context menu item: 上傳到QQ網路硬碟 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\geturl.htm O8 - Extra context menu item: 使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\getAllurl.htm O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: 新增到QQ自定義面板 - C:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 新增到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信發送該圖片 - C:\Program Files\Tencent\QQ\SendMMS.htm O8 - Extra context menu item: 百度--MP3搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUMP3.HTM O8 - Extra context menu item: 百度--圖片搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUIMG.HTM O8 - Extra context menu item: 百度--新聞搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUNEWS.HTM O8 - Extra context menu item: 百度--歌詞搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDULYRIC.HTM O8 - Extra context menu item: 百度--網頁搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUSEARCH.HTM O8 - Extra context menu item: 百度--詞典搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDU_DIC.HTM O8 - Extra context menu item: 百度--貼吧搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUPOST.HTM O9 - Extra button: 免費精彩視頻超流暢線上觀看 - {022C4009-5283-4365-97BF-144054B40E2E} - http://itv.mop.com (file missing) O9 - Extra 'Tools' menuitem: 播霸電視 - {022C4009-5283-4365-97BF-144054B40E2E} - http://itv.mop.com (file missing) O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096805720203 O16 - DPF: {CC4FE0DB-801C-4ACB-A17B-5D816C72000B} (SetupDrv Control) - http://www.hinovo.com:8080/autodrv/SetupDrvX.cab O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCast...0_20060123.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5321E366-46D2-4308-94B7-1710C801B3AB}: NameServer = 218.74.122.74,218.74.122.75 O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Window Services Pack Installe (Spullerpdsvc) - Unknown owner - C:\Program Files\Common Files\spupdsvc.exe (file missing) A: 請用本版的置頂貼【注意】 發帖前必看!病毒救援區版規--(附常用工具+查毒網站)裡面的System Repair Engineer,執行它,選擇「啟動專案」——「服務」——「Window Services Pack Installe」——「刪除所選服務」——然後點「否」。即可。 也可以參考置頂公告的解決方法:病毒救援常見病毒/木馬解決方法索引 帖子或是 可用瑞星木馬專殺工具處理乾淨。 |
送花文章: 3,
|
2006-09-11, 09:36 PM | #7 (permalink) |
榮譽會員
|
鴿子,huigezi,GPigeon 解決指導
灰鴿子 Vip 2005 清除器 http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip BlackHole&灰鴿子後門專殺工具 http://www.cert.org.cn/articles/tool...51322256.shtml 如果專殺工具沒有發現灰鴿子,請參考下面方法手工刪除 按照下面指導,3步就能徹底刪除系統裡的灰鴿子木馬 1. 下載HijackThis掃瞄系統 下載位址: http://www.skycn.com/soft/15753.html zww3008漢化版 http://www.merijn.org/files/hijackthis.zip 英文版 2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項 如最近流行的: O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe 用HijackThis選中上面的O23項,然後選擇"修復該項"或"Fix checked" 3. 用Killbox刪除灰鴿子對應的木馬文件 可以從這裡下載Killbox http://yncnc.onlinedown.net/soft/37257.htm 直接把文件的路徑複製到 Killbox裡刪除 通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷 C:\windows\服務名.dll C:\windows\服務名.exe C:\windows\服務名.bat C:\windows\服務名key.dll C:\windows\服務名_hook.dll C:\windows\服務名_hook2.dll 舉例說明: C:\WINDOWS\setemykey.dll C:\WINDOWS\setemy.dll C:\WINDOWS\setemy.exe C:\WINDOWS\setemy_hook.dll C:\WINDOWS\setemy_hook2.dll 用Killbox刪除那些木馬文件,由於文件具有隱藏內容,可能無法直接看到,但Killbox能直接刪除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經刪除就沒關係了 |
送花文章: 3,
|
向 psac 送花的會員:
|
cara551977 (2009-02-19)
感謝您發表一篇好文章 |