C:WINDOWS\WINDOWS_SERVER_HOOK.DLL我用卡巴斯基殺了之后重起機之后又有,而且凡是隨系統啟動程序都會沾染。怎么辦啊在線等。謝謝
熱心網友
灰鴿子木馬分兩部分:客戶端和服務端。攻擊者操縱著客戶端,利用客戶端配置生成出一個服務端程序。服務端文件的名字默認G_Server。exe 。G_Server。exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然后再從體內釋放G_Server。dll和G_Server_Hook。dll到windows目錄下。 G_Server。exe、G_Server。dll和G_Server_Hook。dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為 G_ServerKey。dll的文件用來記錄鍵盤操作。 注意,G_Server。exe這個名稱并不固定,它是可以定制的,比如當定制服務端文件名為ABC。exe時,生成的文件就是ABC。exe、ABC。dll和 ABC_Hook。dll。 Windows目錄下的G_Server。exe文件將自己注冊成服務(9X系統是寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server。dll和G_Server_Hook。dll并自動退出。G_Server。dll文件實現后門功能,與控制端客戶端進行通信;G_Server_Hook。dll則通過攔截API調用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook。dll有時候附在Explorer。exe的進程空間中,有時候則是附在所有進程中。我的這個注射到winlogo里去了~ 灰鴿子的手工檢測方法: 由于灰鴿子攔截了API調用,在正常模式下木馬程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了"顯示所有隱藏文件"也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。 但是,通過找資料我發現,對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的服務器端文件名是什么,一般都會在操作系統的安裝目錄下生成一個以"_hook。dll"結尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子木馬。 由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入 Windows啟動畫面前,按下F8鍵,在出現的啟動選項菜單中,選擇"Safe Mode"或"安全模式"進入安全模式……接著來》》** 1、由于灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開"我的電腦",選擇菜單"工具"—"文件夾選項",點擊"查看 ",取消"隱藏受保護的操作系統文件"前的對勾,并在"隱藏文件和文件夾 "項中選擇"顯示所有文件和文件夾",然后點擊"確定"。 2、打開Windows的"搜索文件",文件名稱輸入"_hook。dll",搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。 3、經過搜索,我們在Windows目錄(不包含子目錄,在一個子目錄下好象還有一個什么HOOK。DLL的文件,這個不用管)下發現了一個名為 G_Server_HOOk。DLL的文件。 4、根據灰鴿子原理分析我們知道,如果G_Server_HOOk。DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有G_Server。DLL和 G_Server。exe文件。打開Windows目錄,一眼就看到者3個家伙躺在一 起呢?再找找,好象沒有找到那個用于記錄鍵盤操作的 G_ServerKey。dlll文件,估計是沒有,算啦! 經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就 可以進行手動清除。 經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模 式下操作,主要有兩步: 1、清除灰鴿子的服務;2刪除灰鴿子程序文件。 請按照我的操作做,別做錯了哈~ 一、清除灰鴿子的服務 2000/XP系統: 1、打開注冊表編輯器(點擊"開始"-"運行",輸入"Regedit。exe", 確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。 2、點擊菜單"編輯"-"查找","查找目標"輸入"G_Server。exe",點擊確定,我們就可以找到灰鴿子的服務項。 3、刪除整個G_Server項。 98/me系統: 在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV ersion\Run項,我們立即看到名為G_Server。exe的一項,將 G_Server。exe項刪除即可。 二、刪除灰鴿子程序文件 刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的G_Server。exe、G_Server。dll、G_Server_Hook。dll以及 G_Serverkey。dll(有的話~沒有就算了)文件,為了確保安全,用喀吧再掃下,沒有發現了,那就干凈咯~然后重新啟動計算機至百秒年 狀態下。再開喀吧檢測下,看有沒有別的服務啟動,沒有發現,那就OK了,至此,這個破鴿子已經被清除干凈。 。
熱心網友
木馬殺客 5.1可升級綠色版 金山木馬專殺_通行證升級修正版看看能不能殺掉。