灰鸽子病毒专杀,灰鸽子病毒是什么病毒
灰鸽病毒是一种传播和感染速度很快的木马病毒。灰鸽病毒对电脑的危害很大,会破坏系统文件。如果win10系统正式版有灰鸽病毒,如何清理?针对这个问题,让边肖教你如何清除灰鸽子病毒。
灰鸽子病毒的危害:
灰鸽子其实是一个远程控制程序,它会根据制作者的意图生成一个任意名称的文件,然后用各种招数让你打开这个文件。一旦打开,就会变成肉鸡,随时被黑客控制。
灰鸽子的运行原理:
灰鸽子木马分为客户端和服务器两部分。黑客(姑且称之为黑客)操纵客户端,利用客户端配置生成服务器端程序。服务器的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。植入特洛伊木马有很多种方法。比如黑客可以把它绑定到一张图片上,然后伪装成害羞的MM通过QQ把木马发给你,诱骗你运行;还可以设置个人网页诱骗你点击,利用IE漏洞将木马下载到你的机器上运行;也可以把文件上传到软件下载网站,伪装成有趣的软件诱骗用户下载…
G_Server.exe运行后会将自身复制到Windows目录下(Win98/WinXP/Win7下的系统盘Windows目录,Win2000/WinNT下的系统盘Winnt目录)。然后把G_Server.dll和G_Server_Hook.dll从主体释放到Windows目录。G_Server.exe、G_Server.dll和G_Server_Hook.dll相互配合,组成灰鸽子服务器。有些灰鸽子会额外发布一个名为G_ServerKey.dll的文件来记录键盘操作。
注意:G_Server.exe这个名字不是固定的,可以自定义。例如,当定制服务器的名称是A.exe时,生成的文件是A.exe、A.dll和a _ hook.dll。
Windows目录下的G_Server.exe文件将自己注册为服务(9X系统写注册表启动项),每次启动都能自动运行。运行后,启动G_Server.dll和G_Server_Hook.dll,自动退出。G_Server.dll文件实现后门功能,与控制端客户端通信;G_Server_Hook.dll通过拦截API调用来隐藏病毒。所以中毒后,我们看不到病毒文件,也看不到病毒注册的服务。随着灰鸽服务器文件的不同设置,G_Server_Hook.dll有时会附加到Explorer.exe的进程空间,有时会附加到所有进程。
如何检测计算机是否感染灰鸽子病毒?
因为灰鸽拦截API调用,木马文件和它注册的服务在正常模式下都是隐藏的,也就是说即使你设置了“显示所有隐藏文件”也看不到。另外,灰鸽服务器的文件名也可以自定义,给人工检测带来了一定的困难。
但是通过仔细观察,我们发现灰鸽子的检测还是有规律的。从上面的运行原理分析可以看出,无论用户自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这个,我们可以更准确的手动检测灰鸽子木马。
因为灰鸽子在正常模式下会隐藏自己,所以检测灰鸽子的操作必须在安全模式下进行。进入安全模式的方法是在系统进入Windows启动屏幕之前启动电脑。按下F8键(或启动电脑时按住Ctrl键),在出现的启动选项菜单中,选择“安全模式”或“安全模式”。
具体方法如下:
1.因为灰鸽子的文件本身就有隐藏属性,所以需要设置窗口显示所有文件。打开电脑,选择工具-文件夹选项,单击查看,取消选中“隐藏受保护的操作系统文件”,选中“显示隐藏的文件和文件夹”,然后单击确定。
2.打开Windows的“搜索文件”,文件名输入“_hook.dll”,搜索位置选择Windows的安装目录(默认Win98/WinXP/Win7为C:Windows,Win2000/WinNT为C:Winnt)。
3.经过搜索,我们在Windows目录下(不包括子目录)找到了一个名为Game_Hook.dll的文件。
4.根据灰鸽原理分析,我们知道如果Game_Hook。DLL是灰鸽子的文件,操作系统安装目录里会有Game.exe和Game.dll的文件。打开Windows目录。果然有这两个文件,还有一个记录键盘操作的GameKey.dll文件。
经过这些步骤,基本可以确定这些文件是灰鸽木马,然后就可以手动清除了。
怎么清理灰鸽子病毒?
经过以上分析,灰鸽子就很容易摆脱了。清除灰鸽仍然需要在安全模式下操作,主要有两个步骤:
清灰鸽的服务;
删除灰鸽子程序文件。
注意:为防止误操作,清洗前做好备份。
第一,清灰鸽服务
Win2000/WinXP/Win7系统:
1.打开注册表编辑器(点击“开始”-“运行”,输入“Regedit.exe”并确认。)打开HKEY _本地_机器系统当前控制设置服务。
2.点击菜单编辑-查找,查找目标输入“game.exe”,点击确定,找到灰鸽子的服务项(本例为Game _ Server
3.删除整个游戏服务器项目。
二、删除灰鸽子程序文件
删除灰鸽子程序文件很简单,只需在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll和Gamekey.dll文件,然后重启电脑即可。此时,灰鸽子已经被清除了。
以上就是如何清理灰鸽病毒的介绍。如果有朋友电脑中了灰鸽病毒,请参考教程设置。