如何手工清除灰鸽子病毒全面教程

由于灰鸽子病毒作者现在还没有停止对灰鸽子换代产品的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子病毒加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。手工清除灰鸽子病毒并不难，重要的是我们必须懂得它的运行原理。 灰鸽子病毒的运行原理 灰鸽子病毒木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载…… G_Server.exe运行后将自己拷贝到Windows目录下（98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录），然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

【内容导航】
第1页：灰鸽子病毒的运行原理	第2页：灰鸽子病毒的手工检测
第3页：灰鸽子病毒的手工清除

10月4日病毒木马播报谨防“QQ大盗”干扰计算机正常工作成为一个黑客所必备的技能相关资讯病毒灰鸽子

计算机病毒（Virus）是谁发明的？（03/13/2014 08:23:58）
不是所有“病毒”都是病毒：恶意（02/11/2014 09:51:12）
迪士尼：开源软体是病毒（09/03/2012 20:16:48）

美国国家安全局（NSA）准备释放病（03/13/2014 08:17:17）
蠕虫病毒经由Skype传播自动安装勒（10/10/2012 16:06:46）
[图]新病毒删除主引导记录导致系（08/18/2012 10:22:29）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容