灰鸽病毒是一种传播和感染速度很快的木马病毒。灰鸽病毒对电脑危害很大,会破坏系统文件。如何清理win10系统正式版中的灰鸽病毒?针对这个问题,让边肖教你如何清除灰鸽子病毒。
灰鸽病毒的危害;
灰鸽子其实是一个远程控制程序,会根据制作者的意思生成一个任意名称的文件,然后用各种招数让你打开这个文件。一旦开通,就成了肉鸡,随时被黑客逼迫。
灰鸽的工作原理:
灰鸽木马分为客户端和服务器两部分。黑客(姑且这么说吧)操纵客户端,利用客户端配置生成服务器程序。默认情况下,服务器文件的名称是G_Server.exe。
然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种植特洛伊木马有很多种方法。比如黑客可以把它绑定到一张图片上,然后通过QQ传给你这个害羞的MM,诱骗你跑步。您还可以创建个人网页,
诱骗你点击,利用IE漏洞将木马下载到你的机器上运行;也可以把文件上传到软件下载网站,伪装成有趣的软件诱骗用户下载.
运行后,G_Server.exe将自身复制到Windows目录下(Windows目录下为Win98/WinXP/Win7下的系统盘,Winnt目录下为Win2000/WinNT下的系统盘)。
然后把G_Server.dll和G_Server_Hook.dll从主体释放到Windows目录。
G_Server.exe、G_Server.dll和G_Server_Hook.dll相互配合,组成灰鸽服务器。
有些灰鸽子会额外释放一个名为G_ServerKey.dll的文件来记录键盘操作。
注意:G_Server.exe这个名字不是固定的,但是可以自定义。例如,当定制服务器的文件名为A.exe时,生成的文件为A.exe、A.dll和A_Hook.dll
Windows目录下的G_Server.exe文件将自己注册为服务(9X系统写注册表启动项),每次开机都能自动运行。运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。
G_Server.dll文件实现后门功能,与控制客户端通信;G_Server_Hook.dll通过拦截API调用来隐藏病毒。所以中毒后,我们看不到病毒文件,也看不到病毒注册的服务项目。
随着灰鸽子服务端文件的不同设置,G_Server_Hook.dll有时会附着在Explorer.exe的进程空间,有时会附着在所有进程上。
如何检测电脑是否感染灰鸽病毒?
因为灰鸽拦截了API调用,所以在正常模式下,木马文件及其注册的服务项都是隐藏的,也就是说即使设置了“显示所有隐藏文件”也看不到。另外,灰鸽服务器的文件名也可以自定义。
这给人工检测带来了一定的困难。
但是通过仔细观察,我们发现灰鸽子的检测还是有规律的。从上面的运行原理分析可以看出,无论用户自定义的服务器端文件名是什么,
一般在操作系统的安装目录下会生成一个以“_hook.dll”结尾的文件。通过这个,我们可以更准确的手工检测灰鸽子木马。
因为灰鸽在正常模式下会隐藏自己,所以检测灰鸽的操作必须在安全模式下进行。进入安全模式的方法是在系统进入Windows启动屏幕之前启动计算机。按下F8键(或在启动电脑时按住Ctrl键)。
在出现的启动选项菜单中,选择安全模式或安全模式。
具体方法如下:
1.因为灰鸽的文件有隐藏属性,所以要设置窗口显示所有文件。打开计算机,选择工具-文件夹选项,单击查看,取消选中隐藏受保护的操作系统文件前的复选框。
选中“显示隐藏的文件和文件夹”,然后单击“确定”。
2.打开Windows的“搜索文件”,输入“_hook.dll”作为文件名。
选择Windows的安装目录作为搜索位置(默认情况下,Win98/WinXP/Win7为C:Windows,Win2000/WinNT为C:Winnt)。
3.经过搜索,我们在Windows目录下(不包括子目录)找到了一个名为Game_Hook.dll的文件。
4.根据灰鸽原理,我们知道如果Game_Hook。DLL是一个灰鸽子的文件,操作系统安装目录里会有Game.exe和Game.dll的文件。打开Windows目录,果然有这两个文件。
还有一个记录键盘操作的GameKey.dll文件。
经过这些步骤,基本可以确定这些文件是灰鸽木马,下面可以手动删除。
如何清理灰鸽病毒?
经过以上分析,灰鸽就很容易摆脱了。清除灰鸽仍然需要在安全模式下操作,主要有两个步骤:
清除灰鸽子的服务;
删除灰鸽程序文件。
注意:为了防止误操作,清洗前一定要做好备份。
第一,清除灰鸽子的服务
windows 2000/windows XP/windows 7系统:
1.打开注册表编辑器(点击“开始”-“运行”,输入“Regedit.exe”并确认。)打开HKEY _本地_机器系统当前控制设置服务。
2.点击菜单中的“编辑”-“搜索”,在“搜索目标”中输入“game.exe”,点击确定,找到灰鸽子的服务项(此处为Game _ Server);
3.删除整个游戏服务器项目。
第二,删除灰鸽子程序文件
删除灰鸽的程序文件很简单。只需在安全模式下删除Windows目录下Game.exe、Game.dll、Game_Hook.dll、Gamekey.dll的文件,然后重启电脑即可。此时此刻,
灰色的鸽子已经被清除了。
以上是如何清理灰鸽病毒的介绍。如果你身边的朋友电脑中了灰鸽病毒,请参考教程设置。