[求助]Backdoor.GPigeon.shc/灰鸽子...最近老中这个东西..

入门菜菜鸟

郁闷..怎么搞的,这东西他妈的怎么这么黏糊..到处都有啊!
谁有办法彻底解决啊???我都是莫名其妙的中了...
这东西除了生成4个文件和2个注册表项外还有生成什么东西吗?

入门菜菜鸟

鸽子生成的文件+说明(来源自网上)
    服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。
    G_Server.exe第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务（服务名称在上面已经配置好了），然后从体内释放2个文件到Windows目录下：G_Server.dll，G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。
    G_Server.dll实现后门功能，与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括：文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理，提供MS-Dos shell，提供代理服务,注册表编辑，启动telnet服务，捕获屏幕，视频监控，音频监控，发送音频，卸载灰鸽子…… 可以说，用户在本地能看到的信息，使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易，则远程屏幕监控容易暴露用户的帐号，在加上键盘监控，用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密，如“相貌”，“声音”。
    G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。
    灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

入门菜菜鸟

具体查杀的办法总结!
1.搜索WINDOWS下_HOOK.DLL这类型文件,例:G_Server_HOOK.DLL
  进入所在目录,你会找到4个前缀相同的文件..这4个就是祸首了!
  (有些版本没有生成*KEY.DLL这个,新变种的都带这玩意了!操!)
2.去到安全模式,删除对应4个文件
3.注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\(XP版本)
在ROOT下会生成2个项,仔细看下会找到的,反正就那几个字母!如果不知道,可以去
服务里面看看,那里会生成一个系统服务项目,把那个名字记下,去注册表里搜索!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\(2000版本)
跟生成的文件名字一样的,很好找,找不到就把那个毒毒的完整路径拿去注册表里
搜索,exe那个!选择搜索数据就好了!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(98版本)
一眼就看到了...汗!
PS:如果不在这些位置,可以用搜索查找的!方法上面有了!这个垃圾东西,我怎么就
老中呢!

magictek

装个天网，即使中了病毒、蠕虫、木马也不要紧，不让它访问网络就成