Mi computadora utiliza el software antivirus KV2004. Recientemente, me informaron que "Grey Pigeon" me golpeó y encontré un virus, pero no se puede eliminar. ¿Qué debo hacer?

Si está infectado con el virus Grey Pigeon, consulte el método de eliminación.

El autor de Backdoor.Huigezi aún no ha dejado de desarrollar Grey Pigeon y algunas personas quieren evitarlo. antivirus El software antivirus del software agrega deliberadamente varios shells a Grey Pigeon, lo que resulta en la aparición constante de nuevas variantes de Grey Pigeon en Internet. Si su máquina tiene síntomas de paloma gris pero no puede ser detectada mediante un software antivirus, es probable que haya sido infectada por una nueva variante que aún no ha sido interceptada. En este momento, debes matar las palomas grises manualmente.

No es difícil eliminar las palomas grises manualmente. Lo importante es que debemos entender su principio de funcionamiento.

El principio de funcionamiento de Gray Pigeon

El troyano Gray Pigeon se divide en dos partes: el cliente y el servidor. El hacker (llamémoslo así) controla el cliente y utiliza la configuración del cliente para generar un programa de servidor. El nombre del archivo del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan este troyano a través de varios canales (comúnmente conocido como plantar troyanos o abrir puertas traseras). Hay muchas formas de instalar troyanos. Por ejemplo, los piratas informáticos pueden vincularlo a una imagen y luego pretender ser una chica tímida y pasarle el troyano a través de QQ para engañarlo para que lo ejecute. También pueden crear una página web personal. engañarlo para que haga clic. Utilice las vulnerabilidades de IE para descargar el troyano en su máquina y ejecutarlo. También puede cargar el archivo en un sitio de descarga de software y pretender ser un software interesante para engañar a los usuarios para que lo descarguen...

Después de ejecutar G_Server.exe, cópielo usted mismo al directorio de Windows (en 98/xp, es el directorio de Windows del disco del sistema, en 2k/NT, es el directorio Winnt del disco del sistema), y luego suelte G_Server.dll y G_Server_Hook.dll desde el cuerpo al directorio de Windows. Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. Algunos Gray Pigeons lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Tenga en cuenta que el nombre G_Server.exe no es fijo, se puede personalizar. Por ejemplo, cuando el nombre del archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y A_Hook.dll.

El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribe el elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se enciende la computadora. Después de ejecutar, G_Server.dll. y G_Server_Hook.dll se iniciará y se cerrará automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo del virus ni los elementos de servicio registrados por el virus. Dependiendo de la configuración del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.

Detección manual de Gray Pigeon

Debido a que Gray Pigeon intercepta llamadas API, el archivo del programa troyano y sus elementos de servicio registrados están ocultos en el modo normal, lo que significa que incluso si configura Puedo No los veo ni siquiera con "Mostrar todos los archivos ocultos". Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual.

Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, se puede ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. A través de esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión.

Dado que las palomas grises se esconden en el modo normal, la operación de detección de palomas grises debe realizarse en modo seguro. El método para ingresar al modo seguro es: inicie la computadora, presione la tecla F8 antes de que el sistema ingrese a la pantalla de inicio de Windows (o mantenga presionada la tecla Ctrl al iniciar la computadora) y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de arranque que aparece.

1. Dado que el archivo Gray Pigeon tiene atributos ocultos, debe configurar Windows para que muestre todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", desmarque "Ocultar archivos protegidos del sistema operativo" y seleccione "Ocultar archivos y carpetas". Seleccione "Mostrar todos los archivos y carpetas" y haga clic "DE ACUERDO".

2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (el valor predeterminado es C:\windows para 98/ xp y C:\windows para 2k/NT).

3. Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).

4. Según el análisis del principio de la paloma gris, sabemos que si Game_Hook.DLL es un archivo de la paloma gris, también habrá archivos Game.exe y Game.dll en el directorio de instalación del sistema operativo. . Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo GameKey.dll para registrar las operaciones del teclado.

Después de estos pasos, básicamente podemos determinar que estos archivos son troyanos Gray Pigeon y podemos eliminarlos manualmente a continuación. Además, si encuentra una variante de Gray Pigeon que el software antivirus de Rising no puede detectar, puede iniciar sesión en el sitio web de informes de nuevos virus de Rising () para cargar muestras.

Eliminación manual de palomas grises

Después del análisis anterior, es muy fácil eliminar las palomas grises. Para borrar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales: 1. Borrar el servicio Gray Pigeon. 2. Eliminar el archivo del programa Gray Pigeon.

Nota: Para evitar un mal uso, asegúrese de realizar una copia de seguridad antes de borrar.

1. Servicio para eliminar palomas grises

Sistema 2000/XP:

1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", ingrese "Regedit.exe", OK), abra la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.

2. Haga clic en el menú "Editar" - "Buscar", ingrese "game.exe" en "Objetivo de búsqueda", haga clic en Aceptar, podemos encontrar el elemento de servicio de Grey Pigeon (en este caso, Game_Server). ).

3. Elimina todo el elemento Game_Server.

Sistema 98/me:

En 9X, solo hay un elemento de inicio de Gray Pigeon, por lo que la eliminación es más sencilla. Ejecute el editor de registro y abra el elemento HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Inmediatamente vemos un elemento llamado Game.exe. Simplemente elimine el elemento Game.exe.

2. Elimina los archivos del programa Gray Pigeon

Eliminar los archivos del programa Gray Pigeon es muy sencillo. Sólo necesitas eliminar Game.exe, Game.dll y Game_Hook en Windows. directorio en modo seguro.dll así como el archivo Gamekey.dll y luego reinicie la computadora. En este punto, las palomas grises han sido eliminadas.

Resumen

Este artículo proporciona un método general para detectar y eliminar manualmente Grey Pigeon, que es adecuado para la mayoría de los troyanos Grey Pigeon y sus variantes que vemos, pero todavía hay una muy pocas variantes no se pueden detectar ni eliminar con este método. Al mismo tiempo, con el lanzamiento continuo de nuevas versiones de Gray Pigeon, el autor puede agregar algunos nuevos métodos de ocultación y métodos anti-eliminación, lo que hace cada vez más difícil detectarlo y eliminarlo manualmente. Cuando esté seguro de que su máquina tiene el troyano Gray Pigeon y no puede detectarlo utilizando el método descrito en este artículo, lo mejor es pedirle a un amigo experimentado que le ayude a resolver el problema.