灰鸽子木马教程,灰鸽子木马教程视频
灰鸽子生成的木马怎么做免杀 说的详细一点
要做木马的免杀程序是;用OD“加花”----“去头”----或者用OD把木马的“入口前二句”移到零区域执行-----再用PE再把木马的“入口点加1”可过360的高启发查杀----再用restorator更换木马的“图标”和“界面”----再加(生僻“壳”)-----用吾爱破解专版改“壳”(改壳必须熟悉汇编语言)----再用multiCCL定位木马的特征码,最后用C32修改木马的“特征码”(必须熟悉汇编语言)。木马免杀完成。灰鸽子木马将这些程序完成后可过360和大部分杀毒软件。不常用的远控软件生成的木马直接加“生僻壳”可过360和大部分杀毒软件。你要详细解说是没办法说完的。
灰鸽子病毒怎么杀
您好
1,您可以先到腾讯电脑管家官网下载一个电脑管家。
2,然后重启电脑按F8进入带网络连接的安全模式。
3,然后打开电脑管家——杀毒——全盘查杀。
4,电脑管家拥有的基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,可以将灰鸽子病毒检测出来,并及时查杀掉。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
怎么样修改灰鸽子啊
应该是检测和清除吧!
检测步骤如下:
“灰鸽子”木马在运行时一定会生成一个以“_hook.dll”结尾的文件,那么就可以通过Windows中的“搜索”在Windows目录下(98/xp中为系统盘的Windows目录,2k/NT中为系统盘的Winnt目录)搜索文件了。当搜索完毕后,会发现如A_Hook.dll的文件(A为随意的合法名称)。根据灰鸽子原理分析得知,如果A_Hook.DLL为灰鸽子的文件,并存在于Windows的目录下就会有A.exe、A.dll文件,可能还有A Key.dll文件。所以“灰鸽子”木马就被找出来了。
清除步骤如下:
清除“灰鸽子”时要在安全模式下进行,它的清除过程分为两个方面。
(1)要从注册表中清除“灰鸽子”的服务。其步骤为打开“开始”中“运行”项,并在对话框中输入“regedit”,单击“确定”按钮。在注册表编辑器中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项,并在注册表编辑器中单击“编辑”—“查找”,在出现的“查找”对话框中的“查找目标”中输入所找到的“灰鸽子”的服务项,如A.exe,找到该项后将其删除。
(2)将我们找到的“灰鸽子”病毒从硬盘中删除掉。这样整个清除工作就完成了。
紧急!~灰鸽子怎么杀??
以上办法可以对付一般的灰鸽子,但是有的是无法对付的,现根据我自己的一次经验提供如下方法:
灰鸽子病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而,由于黑客配置灰鸽子服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。
其实,灰鸽子有一个弱点,可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:\WINDOWS\spoolvs.exe)。(注:NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。)
因此,建议因感染灰鸽子的发帖求助的网友按以下步骤操作:
1、用HijackThis1.99.1(本软件可在网上找到下载,本文不提供下载网址,以免有广告嫌疑)扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。
2、确认灰鸽子注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。
3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:\WINDOWS\spoolvs.exe),找到后删除之。需要注意的是:灰鸽子生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子后,在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息,那么,这个日志提示:这个灰鸽子服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:\WINDOWS\文件夹中。
附:HijackThis日志中见到的灰鸽子注册的系统服务名与病毒文件名(供手工杀毒参考)
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE
O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe
O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe
O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe
O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe
O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe
O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe
O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com
O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe
O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe
O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe
023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe
O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe
O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe
O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe
O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe
O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。