Ayuda.
El autor de Gray Pigeon (Backdoor.Huigezi) no ha dejado de desarrollar Gray Pigeon. Además, para evitar que el software antivirus detecte y mate a Grey Pigeon, la gente agrega deliberadamente varios caparazones. Como resultado, constantemente aparecen nuevas variantes de Grey Pigeon en Internet. que aparece constantemente en Internet. Aunque Ruixing no ha escatimado esfuerzos para recoger las últimas muestras de paloma gris, todavía quedan algunos "peces que se han escapado de la red" debido a la gran cantidad de variantes. Si su máquina presenta síntomas de paloma gris pero el software antivirus Rising no puede detectarla, lo más probable es que esté infectada con una nueva variante que aún no ha sido bloqueada. Es por eso que necesitas cazar palomas grises manualmente.
Quitar Paloma Gris manualmente no es difícil, pero es importante que sepamos cómo funciona.
Cómo funciona Grey Pigeon
El troyano Gray Pigeon se divide en dos partes: el cliente y el servidor. Un hacker (llamémoslo así) manipula el cliente y utiliza la configuración del cliente para generar un programa del lado del servidor. El nombre del archivo del lado del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan este troyano a través de varios canales (comúnmente conocidos como siembra de troyanos o apertura de puertas traseras). Hay muchas formas de implantar un troyano. Por ejemplo, un hacker puede vincularlo a una imagen y luego pretender ser una chica tímida y pasarte el troyano a través de QQ para incitarte a ejecutarlo. También puedes configurar un troyano. página web personal para atraerlo. Después de hacer clic, puede usar las vulnerabilidades de IE para descargar el caballo de Troya en su máquina y ejecutarlo. También puede cargar el archivo en un sitio web de descarga de software y pretender ser un software interesante para atraer a los usuarios a descargar el archivo. . ......
Después de ejecutar, G_Server.exe se copia en el directorio de Windows (98/xp es el directorio de Windows del disco del sistema, 2k/NT es el directorio Winnt del disco del sistema) y luego, desde dentro del cuerpo, suelte G_Server.dll y G_Server_Hook.dll. G_Server.exe, G_Server.dll y G_Server_Hook.dll son los tres archivos que componen el servidor Gray Pigeon. Algunos Gray Pigeons también lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Tenga en cuenta que el nombre del archivo G_Server.exe no es fijo. Se puede personalizar. Por ejemplo, cuando el nombre del archivo del lado del servidor se personaliza como A.exe, los archivos generados son A.exe, A.dll y A_Hook. dll.
El archivo G_Server.exe en el directorio de Windows se compone de tres archivos. El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribirá un elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se inicia la computadora. Después de ejecutarse, se ejecutarán G_Server.dll y G_Server_Hook.dll. iniciado y salir automáticamente. El archivo G_Server.dll implementa la funcionalidad de puerta trasera y puede comunicarse con el cliente de la consola, mientras que G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo de virus ni los elementos de servicio registrados por el virus. Debido a las diferentes configuraciones de los archivos del lado del servidor de Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y a veces a todos los procesos.
Detección manual de Gray Pigeon
Dado que Gray Pigeon intercepta llamadas API, el archivo troyano y su servicio registrado están ocultos en modo normal, lo que significa que incluso si configura "Mostrar todo oculto" archivos" y tampoco puedes verlos. Además, los nombres de los archivos del servidor Gray Pigeon se pueden personalizar, lo que dificulta la detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular.
Del análisis anterior del principio operativo, podemos encontrar que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Con esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión.
Dado que Grey Pigeon se esconde en modo normal, Gray Pigeon debe ser detectado en modo seguro. El método para ingresar al modo seguro es: iniciar la computadora, presionar la tecla F8 (o mantener presionada la tecla Ctrl al iniciar la computadora) antes de que el sistema ingrese a la pantalla de inicio de Windows y seleccionar "Seguro" en el menú de opciones de inicio que aparece. /p>
modo" o "modo seguro".
1. Dado que el archivo Gray Pigeon tiene atributos ocultos, es necesario configurar Windows para mostrar todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", elimine la marca de verificación delante de "Ocultar archivos protegidos del sistema operativo", en el elemento "Ocultar archivos y carpetas" seleccione "Mostrar todos los archivos y carpetas." y haga clic en "Aceptar".
2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre del archivo y seleccione el directorio de instalación de Windows para la ubicación de búsqueda (el valor predeterminado es C:\windows para 98/xp). ), C para 2k/NT :\windows y C:\Winnt son 2k/NT).
3. Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).
4. Según el análisis del principio de la paloma gris, sabemos que si Game_Hook.DLL es un archivo de la paloma gris, también habrá archivos Game.exe y Game.dll en el directorio de instalación de. el sistema operativo. Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo GameKey.dll para registrar las operaciones del teclado.
Después de los pasos anteriores, básicamente podemos confirmar que estos archivos son troyanos Grey Pigeon y se pueden eliminar manualmente. Además, si encuentra una variante de Gray Pigeon que no es detectada por el software antivirus de Rising, puede cargar la muestra en el nuevo sitio web de informes de virus de Rising ().
Eliminar Gray Pigeon manualmente
Después del análisis anterior, eliminar Gray Pigeon es muy sencillo. Para eliminar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales: 1. Eliminar el servicio Gray Pigeon. 2. Eliminar los archivos del programa Gray Pigeon.
Nota: Para evitar un mal uso, asegúrese de realizar una copia de seguridad antes de eliminar.
1. Elimine el servicio Gray Pigeon
Sistema 2000/XP:
1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", escriba "Regedit", "Reeditar"). "Regedit.exe", OK).
HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Clave de registro de servicios.
2. Haga clic en el menú "Editar" - "Buscar", ingrese "game.exe", "game.game.exe" en "Objetivo de búsqueda", haga clic en Aceptar, podemos encontrar el elemento de servicio de Grey Pigeon. (aquí Game_Server).
3. Elimina toda la entrada Game_Server.
Sistemas 98/me:
En 9X, solo hay una entrada de inicio de Gray Pigeon, por lo que eliminarla es más fácil. Ejecute el editor de registro y abra la clave HKEY_CURRENT_USER\\\\Software\\Microsoft\\\\\Windows\\\\CurrentVersion\\\\\Run. Inmediatamente veremos una entrada llamada Game.exe Just. elimine el elemento exe.
En segundo lugar, elimine los archivos del programa Gray Pigeon
Eliminar los archivos del programa Gray Pigeon es muy sencillo: simplemente elimine Game.exe, Game.dll y Game_Hook en el directorio de Windows de forma segura. mode.dll y Gamekey.dll y luego reinicie la computadora. En este punto, Grey Pigeon fue eliminado.
Resumen
En este artículo, proporcionamos un método general para detectar y eliminar manualmente Gray Pigeon, que se aplica a la mayoría de los troyanos Gray Pigeon y sus variantes que hemos visto, pero. Todavía hay muy pocas variantes que no se pueden detectar y eliminar con este método. Al mismo tiempo, con el lanzamiento continuo de nuevas versiones de Gray Pigeon, el autor puede agregar algunos nuevos métodos de ocultación y métodos anti-eliminación, lo que hace cada vez más difícil detectarlo y eliminarlo manualmente. Cuando determina que su máquina tiene el troyano Gray Pigeon y aún no puede detectarlo utilizando los métodos presentados en este artículo, es mejor pedirle a un amigo experimentado que le ayude a resolver el problema.
Al mismo tiempo, con el lanzamiento de Rising Antivirus Software 2005, se ha mejorado aún más la capacidad del software antivirus para detectar y eliminar virus desconocidos. Gracias a los continuos esfuerzos del departamento de I+D de Rising, el virus Gray Pigeon se puede eliminar automáticamente de forma segura y eficaz, y cada vez habrá menos oportunidades para que los usuarios lo eliminen manualmente.
Encuestado: Pequeña Computadora - Aprendiz de Magia Nivel 1 11-7 12:32
------------------ --- ----------------------------------------- --- --------
Recientemente, muchos internautas han informado que sus máquinas han sido infectadas por un virus troyano llamado Gray Pigeon. Este virus es muy travieso y aparece en diferentes programas antivirus. tiene diferentes nombres como: Gpigeon, Huigezi y Feutel. Es muy problemático de limpiar en la computadora, especialmente porque se desarrolló recientemente en 2005. Al interceptar la API del sistema Windows, realiza las tres funciones ocultas del programa. Ocultación de archivos, ocultación de procesos y ocultación de servicios. El software antivirus general oculta tres áreas ocultas. El software antivirus general no puede detectar sus archivos de virus en modo normal. Es difícil de manejar y los usuarios están aún más preocupados. Este artículo presenta brevemente Explica el principio de funcionamiento del virus Gray Pigeon, los métodos de detección manual, los métodos de eliminación manual, las precauciones para prevenir infecciones, etc. ¡Y lo recopilo, organizo y proceso yo! Si este artículo infringe sus derechos, indíquelo y lo corregiré de inmediato.
1. Introducción al virus de la paloma gris
La paloma gris es un virus de puerta trasera muy conocido en China. En comparación con sus predecesores Glacier y Black Hole, se puede decir que Grey Pigeon es el maestro de las puertas traseras domésticas. Sus funciones ricas y poderosas, operaciones flexibles y buen ocultamiento lo hacen fuera del alcance de otras puertas traseras. La operación del cliente es simple y conveniente, lo que permite a los principiantes actuar como piratas informáticos. Cuando se usa legalmente, Gray Pigeon es un excelente software de control remoto. Pero si haces algo ilegal con él, Grey Pigeon se convierte en una herramienta de piratería muy poderosa. Es como la pólvora, utilizada en diferentes situaciones, traerá diferentes efectos a los humanos. Quizás solo el autor de Grey Pigeon pueda dar una introducción completa a Grey Pigeon. Aquí solo podemos dar una breve introducción.
El cliente y el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos configuran programas del lado del servidor a través de programas del lado del cliente. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada por las conexiones activas, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, método de ocultación del proceso, shell utilizado y proxy. , iconos, etc.
Hay muchas formas de conectar el servidor al cliente, por lo que los usuarios en una variedad de entornos de red pueden verse envenenados, incluidos los usuarios de LAN (a través de servidores proxy), usuarios de redes públicas y usuarios de acceso telefónico ADSL.
La siguiente es una introducción al servidor:
El nombre del archivo del servidor configurado es G_Server.exe (este es el valor predeterminado, por supuesto, también puede cambiar el nombre del archivo). del archivo del servidor del limpiador Se llama G_Server.exe (esta es la configuración predeterminada, por supuesto, el nombre del limpiador también se puede cambiar. No se utiliza el método específico, el lector puede dar rienda suelta a su imaginación). y no entraré en detalles aquí.
Después de ejecutar G_Server.exe, cópielo en el directorio de Windows (98/xp es el directorio de Windows del disco del sistema, 2k/NT es el directorio Winnt del disco del sistema), y luego copie G_Server.dll y G_Server_Hook.dll de Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan para formar el servidor Gray Pigeon, y G_Server_Hook.dll es responsable de ocultar la API del proceso Gray Pigeon. Las llamadas ocultan archivos de Gray Pigeon, entradas de registro de servicios e incluso nombres de módulos en el proceso. Las funciones interceptadas son principalmente funciones para atravesar archivos, atravesar entradas de registro y atravesar módulos de proceso. Por lo tanto, a veces los usuarios sentirán que se les ha implantado un virus. , pero si miran de cerca, no encontrarán ninguna anomalía. Algunos Gray Pigeons lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Cabe señalar que el nombre del archivo es G_Server.exe. se puede personalizar, por ejemplo, cuando el archivo del servidor personalizado se llama A.exe, los archivos generados son A.exe, A.dll y A_Hook.dll
El archivo G_Server.exe en el directorio de Windows. registrarse como un servicio (el sistema 9X escribirá un elemento de inicio del registro) y podrá ejecutarse automáticamente cada vez que se encienda la computadora. Después de ejecutar, G_Server.dll y G_Server_Hook.dll se iniciarán y saldrán automáticamente. El archivo implementa la función de puerta trasera y puede comunicarse con el cliente de la consola; mientras que G_Server_Hook.dll oculta el virus interceptando las llamadas API. Por lo tanto, no podemos ver el archivo de virus o los elementos de servicio registrados por el virus después de ser infectado. el archivo del lado del servidor, G_Server_Hook.dll, a veces se adjunta al espacio de proceso de Explorer.exe y a veces a todos los procesos.
El autor de Gray Pigeon ha recorrido un largo camino para evadir los controles antivirus. Dado que algunas funciones API son interceptadas, es difícil atravesar los archivos y módulos de Gray Pigeon en modo normal, lo que dificulta su detección y eliminación. Al mismo tiempo, también es problemático desinstalar la biblioteca dinámica de Gray Pigeon y garantizar que el proceso del sistema no falle, lo que ha provocado la reciente proliferación de Gray Pigeon en Internet.
Detección manual de Gray Pigeon
Dado que Gray Pigeon intercepta llamadas API, los archivos de programa del lado del servidor y sus servicios registrados están ocultos en modo normal, es decir, incluso si "Mostrar todo archivos ocultos" tampoco puede ver estos archivos. Además, los nombres de los archivos del servidor Gray Pigeon se pueden personalizar, lo que dificulta su detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Esto nos permite detectar manualmente los servidores de Gray Pigeon con mayor precisión.
Dado que Grey Pigeon se esconde en modo normal, Gray Pigeon debe ser detectado en modo seguro.
El método para ingresar al modo seguro es: inicie la computadora, presione la tecla F8 (o mantenga presionada la tecla Ctrl al iniciar la computadora) antes de que el sistema ingrese a la pantalla de inicio de Windows y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de arranque que aparece ". "
1.
1. Dado que el archivo Gray Pigeon tiene atributos ocultos, Windows debe configurarse para mostrar todos los archivos. Abra "Mi PC" y seleccione el menú "Herramientas". "-"Opciones de carpeta", haga clic en "Ver", quite la marca de verificación delante de "Ocultar archivos protegidos del sistema operativo" y seleccione "Mostrar todos los archivos y carpetas" en el elemento "Archivos y carpetas ocultos". "Luego haga clic en "Aceptar".
[img] [/img]
2. Abra "Buscar archivos" en Windows, ingrese "_hook.dll" como nombre de archivo y Seleccione el directorio de instalación de Windows (98/xp predeterminado es C, C, D). 98/xp predeterminado es C:\windows, 2k/NT es C:\Winnt)
3. encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).
4. Según el análisis del principio de Gray Pigeon, si Game_Hook.DLL es un archivo de Gray Pigeon, entonces el sistema operativo. del sistema También habrá archivos Game.exe y Game.dll en el directorio de instalación. Cuando abro el directorio de Windows, de hecho están estos dos archivos, así como un archivo GameKey.dll para registrar las operaciones del teclado
<. p> [img] [/img]Después de los pasos anteriores, básicamente podemos confirmar que estos archivos son el servidor Gray Pigeon. Puede eliminarlos manualmente
3. eliminación de Gray Pigeon<. /p>
Después del análisis anterior, es muy fácil eliminar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales: 1. Eliminar Gray. Servicio Pigeon; 2. Eliminar el archivo de programa Gray Pigeon
Nota: Para evitar un uso indebido, asegúrese de realizar una copia de seguridad antes de eliminarlo.
(1) Elimine el servicio Gray Pigeon.
Nota: elimine el servicio Gray Pigeon. Los internautas que no estén familiarizados con el registro deben pedir ayuda a alguien que esté familiarizado con la operación para eliminar el servicio Gray Pigeon. asegúrese de hacer una copia de seguridad del registro o cambiar el nombre del archivo de registro en DOS puro y luego vaya a Eliminar el servicio Gray Pigeon del registro porque los virus se asociarán con archivos EXE
Sistema 2000/XP:
1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", escriba "Regedit"). "Regedit.exe", OK). Además, abra HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services clave de registro.
2. Haga clic en el menú "Editar" - "Buscar", ingrese "game.exe" en "Buscar destino" y haga clic en Aceptar. Podemos encontrar el elemento de servicio Grey Pigeon (en este caso. , Game_Server, cada uno tiene un nombre diferente para este elemento de servicio)
[img] [/img]
3. Elimina todo el elemento Game_Server
98/ mi sistema:
En 9X, solo hay un elemento de inicio de Gray Pigeon, por lo que es más fácil de eliminar. Ejecute el editor de registro y abra el elemento HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Inmediatamente veremos un elemento llamado Game.exe. Simplemente elimine el elemento Game.exe.
[img] [/img]
(2) Eliminar archivos de programa de Grey Pigeon
Eliminar archivos de programa de Gray Pigeon es muy sencillo, solo ve al modo seguro Elimine los archivos Game.exe, Game.dll, Game_Hook.dll y Gamekey.dll en el directorio de Windows y luego reinicie la computadora. En este punto, el servidor Gray Pigeon VIP 2005 ha sido limpiado.
El método anterior es adecuado para la mayoría de los troyanos Gray Pigeon y sus variantes que hemos visto, pero todavía hay algunas variantes que no se pueden detectar ni eliminar con este método. Al mismo tiempo, con el lanzamiento continuo de nuevas versiones de Gray Pigeon, el autor puede agregar algunos nuevos métodos de ocultación y métodos anti-eliminación, lo que hace cada vez más difícil detectarlo y eliminarlo manualmente.
4. Asuntos que requieren atención en la prevención del virus de la paloma gris
1. Instalar parches al sistema. Instalar parches del sistema (actualizaciones críticas, actualizaciones de seguridad y service packs) a través de Windows Update, entre los que se encuentran MS04-011, MS04-012, MS04-013, MS03-001, MS03-007, MS03-049, MS04-032, etc. ampliamente utilizado por virus El parche es muy necesario.
2. Establezca una contraseña suficientemente compleja y segura para la cuenta del administrador del sistema, preferiblemente de más de 10 caracteres, compuesta de letras + números + otros símbolos. También puede desactivar/eliminar algunas cuentas no utilizadas.
3. Actualice el software antivirus (base de datos de virus) con frecuencia y establezca las configuraciones permitidas para actualizarlo automáticamente y con regularidad todos los días. Instalar y utilizar correctamente el software de firewall de red. Los firewalls de red también pueden desempeñar un papel vital en el proceso antivirus y pueden bloquear eficazmente los ataques de la red y las intrusiones de virus. Algunos usuarios de Windows pirateado no pueden instalar parches normalmente, lo cual es bastante inútil. Es posible que estos usuarios deseen utilizar firewalls de red para cierta protección.
4. Cierre algunos servicios innecesarios. Si las condiciones lo permiten, puede cerrar los servicios innecesarios. Acciones ****, incluidas C$, D$ y otras acciones **** de gestión. Los usuarios completamente independientes pueden cerrar directamente el servicio del servidor. Estos se pueden desactivar mediante un software de optimización como Winxp General Manager.
WinXP Total Manager v4.9.3 versión registrada en chino
/soft/data/soft/219.html
5. No abra ni ejecute archivos extraños o sospechosos programas a voluntad archivos y programas, como archivos adjuntos extraños en correos electrónicos, complementos, etc.
Herramienta especial de detección y eliminación V.Gray Pigeon (Huigezi, Gpigeon)
Nombre del software: Herramienta especial de detección y eliminación Gray Pigeon (Huigezi, Gpigeon)
Idioma de la interfaz: chino simplificado
Tipo de software: software doméstico
Entorno de ejecución: /Win9X/Me /WinNT/2000/XP/2003
Licencia: software gratuito
Tamaño del software: 414 KB
Introducción del software: Grey Pigeon Remover desarrollado por Gray Pigeon Studios. Puede eliminar la versión VIP2005 del programa del servidor Gray Pigeon (incluido el servidor Gray Pigeon que no puede ser verificado por el software antivirus) y la versión Gray Pigeon [Radiation Official Version] y DLL del servidor de la versión del juego móvil
Ejecute el archivo DelHgzvip2005Server.exe para eliminar la versión VIP2005 del programa del servidor Gray Pigeon, ejecute el archivo un_hgzserver .exe para eliminar Gray Pigeon [versión oficial de Fallout] y la versión DLL de la versión del juego móvil del lado del servidor.
Dirección de descarga:
/soft /data/soft/875.html