¿Cómo detectar si una computadora Win7 está infectada con el virus Gray Pigeon? Cómo limpiar el virus Grey Pigeon en Win7
Los peligros del virus Grey Pigeon:
El virus Grey Pigeon es en realidad un programa de control remoto que genera un archivo con cualquier nombre según la intención del productor, y luego lo utiliza. varios medios engañosos para permitirle abrir este archivo. Una vez que lo abra, se convertirá en un bot y será controlado poderosamente por piratas informáticos en cualquier momento
El principio operativo de Grey Pigeon
El troyano Gray Pigeon se divide en dos partes: cliente y servidor. Los piratas informáticos (llamémoslos así) controlan el cliente y utilizan la configuración del cliente para generar programas del lado del servidor. El nombre del archivo del lado del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan el troyano a través de varios canales (comúnmente conocido como plantar troyanos o abrir puertas traseras). Hay muchas formas de implantar un troyano. Por ejemplo, un hacker puede vincularlo a una imagen y luego pretender ser una chica tímida y pasarte el troyano a través de QQ para incitarte a ejecutarlo. También puede crear un troyano personal. página web para atraerlo Haga clic para usar la vulnerabilidad de IE para descargar el caballo de Troya en su máquina y ejecutarlo. También puede cargar el archivo en un sitio web de descarga de software y pretender ser un software interesante para atraer a los usuarios a descargarlo. p>G_Server. /p>
Después de ejecutar, G_Server.exe se copiará en el directorio de Windows (Win98/WinXP/Win7 es el directorio de Windows del disco del sistema, Win2000/WinNT es el directorio Winnt del disco del sistema) y luego copie G_Server .dll y G_Server_Hook.dll se liberan en el directorio de Windows del disco del sistema, y luego los tres archivos G_Server.dll y G_Server_Hook.G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon Algunos Gray Pigeons también publicarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado.
Nota: El nombre del archivo G_Server.exe no es fijo. Se puede personalizar. Por ejemplo, cuando el nombre del archivo del lado del servidor se personaliza como A.exe, los archivos generados son A.exe, A. .dll y A_Hook.dll.
El archivo G_Server.exe en el directorio de Windows se registrará como un servicio (el sistema 9X escribirá el elemento de inicio del registro) y se ejecutará automáticamente cada vez que se inicie la computadora. Después de ejecutar, G_Server. exe se iniciará, G_Server.dll y G_Hook.dll. El archivo G_Server.dll implementa la función de puerta trasera para comunicarse con el cliente de la consola, mientras que G_Server_Hook.dll oculta el virus interceptando la llamada API G_Server_Hook.dll. Por lo tanto, después del envenenamiento, no podemos ver el archivo de virus ni los elementos de servicio registrados por el virus. Debido a las diferentes configuraciones del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y otras veces a todos los procesos.
¿Cómo detectar si mi ordenador está infectado con el virus Grey Pigeon?
Dado que Gray Pigeon intercepta llamadas API, el archivo troyano y su servicio registrado están ocultos en modo normal, es decir, incluso si configura "Mostrar todos los archivos ocultos", no podrá verlos. Además, los nombres de los archivos del servidor Gray Pigeon se pueden personalizar, lo que dificulta la detección manual.
Sin embargo, tras una cuidadosa observación, descubrimos que la detección de palomas grises sigue siendo regular.
Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Con esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión.
Dado que Grey Pigeon se ocultará en modo normal, la detección de Grey Pigeon debe realizarse en modo seguro. El método para ingresar al modo seguro es: iniciar la computadora, presionar la tecla F8 antes de que el sistema ingrese a la pantalla de inicio de Windows (o mantener presionada la tecla Ctrl al iniciar la computadora) y seleccionar "SafeMode" o "SafeMode" en las opciones de inicio. menú que aparece.
1. Dado que los archivos de Gray Pigeon tienen atributos ocultos, Windows debe configurarse para mostrar todos los archivos. Abra "Computadora", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", elimine la casilla de verificación frente a "Ocultar archivos protegidos del sistema operativo" y marque "Mostrar archivos y carpetas ocultos", y luego haga clic en " ¡OK!"
2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (predeterminada). Win98/WinXP/Win7 es C:\Windows, Win2000/WinNT es C:\Winnt);
3. Después de buscar, encontramos un archivo llamado Game_Hook en el directorio de Windows (excluyendo subdirectorios) archivo .dll. ;
4. Según el análisis del principio de la paloma gris, sabemos que si Game_Hook.DLL es un archivo de la paloma gris, también habrá Game.exe y Game.dll en el directorio de instalación de. el sistema operativo. Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo GameKey.dll para registrar las operaciones del teclado.
Después de los pasos anteriores, básicamente podemos confirmar que estos archivos son troyanos Grey Pigeon y que puedes eliminarlos manualmente.
¿Cómo eliminar el virus de la paloma gris?
Después del análisis anterior, es fácil eliminar Grey Pigeon. Para eliminar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales:
Eliminar el servicio Gray Pigeon
Eliminar el archivo del programa Gray Pigeon.
Nota: Para evitar un mal uso, asegúrese de realizar una copia de seguridad antes de eliminarlo.
1. Elimine el servicio Gray Pigeon
1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", ingrese "Regedit.exe" y confirme).
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;
2. Haga clic en el menú "Editar" - "Buscar", ingrese "game.exe" en "Buscar destino" y haga clic en Seguro. . exe", haga clic en "Aceptar", podemos encontrar el elemento de servicio Gray Pigeon (Game_Server en este ejemplo);
3. Elimine todo el elemento Game_Server.
Sistema Win98/WinME:
En 9X, solo hay un elemento de inicio de Gray Dove, por lo que es más fácil eliminarlo. Ejecute el editor de registro y abra:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion. . \Run;
4. Inmediatamente veremos un elemento llamado Game.exe, simplemente elimine el elemento Game.exe.
En segundo lugar, elimine los archivos del programa Gray Pigeon.
Eliminar los archivos del programa Gray Pigeon es muy sencillo: simplemente elimine Game.exe, Game.dll y Game_Hook en el directorio de Windows de forma segura. mode.dll y Gamekey.dll y luego reinicie la computadora. En este punto, Grey Pigeon fue eliminado.
A través de la explicación detallada del virus de la paloma gris en el tutorial anterior, creo que todos tienen una cierta comprensión del virus de la paloma gris. Si su computadora está infectada con el virus Gray Pigeon, puede consultar el tutorial anterior para eliminarlo.