Puerta trasera.Win32.
;Los siguientes comentarios contienen comandos de script autoextraíbles
Setup=XXX.
Nota: Estas son algunas líneas de comandos de script , lo que le permite extraer archivos comprimidos de gran tamaño a voluntad, y el verdadero archivo de inyección del troyano "Gray Pigeon", es decir, "XXX.exe", se "inyectará" de forma completamente silenciosa en el fondo de la computadora. ¡El verdadero archivo de inyección troyano "Gray Pigeon" "XXX.exe" se "inyectará" de forma completamente silenciosa en el fondo de la computadora! --La razón por la que no notas su proceso de inyección es por el efecto del comando "Silent=1". Por lo tanto, el troyano "Gray Pigeon" ha entrado silenciosamente en su ordenador.
A través del análisis de este proceso de inyección, podemos encontrar que la medida más activa para evitar que el troyano "Backdoor.GPigeon.uac" entre en el ordenador es utilizar más el ordenador. La medida más proactiva es visitar sitios web o páginas web más legales y útiles cuando utilice computadoras en la vida diaria, incluso si desea obtener herramientas de registro de software (por supuesto, todavía esperamos que todos respeten los derechos de propiedad intelectual y paguen por usar software genuino). Vaya a sitios web grandes como "Huajun" y "Pacific" y no confíe en páginas web pequeñas o desconocidas en Internet.
La aparición del "software hacker" ha dado a muchas personas una nueva comprensión del "software hacker". La aparición del "software hacker" ha dado a muchas personas una nueva comprensión del "software hacker".
Una vez que Backdoor.GPigeon.uac se inyecta en una computadora, el software antivirus más reciente generalmente puede interceptarlo y eliminarlo, pero no puede eliminar por completo la "raíz venenosa" del troyano. El archivo *.exe de "Gray Pigeon" no puede ser controlado ni eliminado por un software antivirus. "Gray Pigeon" no es un troyano de ataque cronometrado. Solo ataca dentro de un corto período de tiempo cada vez que se inicia la computadora hasta que se apaga el sistema. Es normal que el archivo principal se registre como Servicio. Después de que el archivo principal se registre como servicio, los virus *.dll y *_hook.dll se liberarán cada vez que se inicien normalmente y se inyectarán en procesos del sistema como este. como explorer.exe, iexplore.exe, csrss.exe y lsass.exe. Por lo tanto, varios programas antivirus pueden detectar e interceptar el virus a tiempo, pero no pueden encontrar la "raíz" del virus. "Este es el punto más importante. Algunos amigos a menudo creen erróneamente que pueden morir usando el modo seguro del software antivirus, pero en realidad el servicio no se inicia en modo seguro, por lo que todos los *.exe no se activan. Por supuesto, el cuerpo del virus no es una excepción. En este momento, el proceso de inyección del cuerpo del virus no ocurre y la mayoría de los motores antivirus no tienen métodos de monitoreo para las características de ejecución del virus, ¡y no hay "inyección"! "¿Cómo puede un software antivirus detectar virus con esta acción característica? Por lo tanto, la mayoría de los programas antivirus no pueden detectar virus en modo seguro.
Pero esto no significa que el virus no pueda eliminarse fundamentalmente. Tomando como ejemplo mi proceso de eliminación personal, recomiendo un método para eliminar Grey Pigeon:
1) Inicie la computadora antes de desconectarse de la red e instale el software antivirus más reciente. Después de desconectarse de la red, instale el último "caballo de Troya" (instalé la versión V5.50)
2) Inicie la computadora normalmente y, después de ejecutar el "caballo de Troya" normalmente, el programa estará en el sistema encuentra el troyano Backdoor.GPigeon.uac.
El archivo sospechoso del troyano GPigeon.uac Lo que encontré esta vez es el archivo "win32.exe" en la carpeta c:\windows. El Trojan Star le recordará si debe eliminar este archivo, pero el resultado es que sí. no ha sido eliminado. El autor marcó "Mostrar el contenido de la carpeta del sistema" y "Mostrar todos los archivos y carpetas" en el panel "Ver" de las opciones "Mostrar el contenido de la carpeta del sistema" y "Mostrar todos los archivos y carpetas" y presionó el botón "Aceptar". . Todos los archivos en la computadora se pueden mostrar en su totalidad. Luego accedí a la carpeta c:\windows y descubrí que había un archivo "win32.exe" dentro; el ícono del archivo era un ícono muy común y discreto. Configúrelo en "leer". -sólo", "sistema" y "archivo" para disfrazarlo. Intenté eliminarlo directamente, pero todavía no se pudo eliminar. El mensaje era "El sistema está en uso y el archivo está protegido".
3) Reinicie la computadora, presione la tecla F8 para ingresar al modo seguro y luego ingrese el archivo. Luego podrá ver la verdadera cara del archivo "win32.exe": es el que tiene un. tamaño de 260-280k ¡Una copia del archivo! Este archivo "win32.exe" también es un archivo comprimido de liberación automática, lo que significa que cada vez que inicia la computadora, inyectará virus en procesos del sistema como explorer.exe, iexplore.exe, csrss.exe, lsass.exe. , etc. . Finalmente, por supuesto, ¡elimine el archivo!
4) Reinicie nuevamente, haga clic en "Ejecutar" en modo seguro, ingrese "regedit", ingrese al registro e ingrese virus en el elemento "Buscar". El nombre del archivo, aquí es "win32.exe". Una vez completada la búsqueda, se eliminarán todas las claves de registro relacionadas.
5) Reinicie la computadora y ejecute "Trojan Scan" en circunstancias normales. El resultado del análisis es: no hay ningún troyano sospechoso. Este resultado demuestra que el método que adoptamos es correcto.
Además, los amigos que utilizan el software antivirus de Rising, normalmente después de haber sido envenenados, inician el ordenador con la red completamente desconectada. Si la función de "escaneo de arranque" de Rising está activada, Rising puede interceptar. la inyección. virus, pero también es necesario utilizar las técnicas anteriores para eliminar completamente el virus. Después de una limpieza exhaustiva, desconecte la conexión de red y encienda la computadora, encontrará que el virus ya no existe y no habrá ninguna notificación para interceptar el virus.