后门程序用什么东西查杀?

来源:百度知道 编辑:互助问答吧 时间:2020/11/24 16:51:11

应该是灰鸽子,参照以下方法试试:
灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后,将自身注册为系统服务,并在同一目录下生成一组(3个)隐藏的病毒文件;病毒文件名可变,但有一定规律。目前为止,我见过的病毒文件均在%WinDir%下;病毒文件名可以是以下三组之一:
1、 G_Server.exe,G_Server.dll,G_Server_Hook.dll
2、 IExplorer.exe,IExplorer.dll,,IExplorer_Hook.dll
3、 Winlogon.exe,Winlogon.dll,Winlogon_Hook.dll
病毒文件名的命名规律是:X.exe,X.dll,X_Hook.dll,其中“X”指文件名的变化部分。在WINDOWS模式下,三个病毒文件均为隐藏文件。在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后,在安全模式下才能看到病毒文件。

清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。

注意:为防止误操作,清除前一定要做好备份。

由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消 “隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。

2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。

3、经过搜索,我们在Windows目录(不包含子目录)下看是否有一个名为IEXPLORE_Hook.dll(也可能是其他名称,但基本结构都是_hook.dll的)的文件。

4、根据灰鸽子原理分析我们知道,如果IEXPLORE_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有IEXPLORE.exe和 IEXPLORE.dll文件。打开Windows目录,应该还有一个用于记录键盘操作的IEXPLOREKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除

灰鸽子的手工清除

一、清除灰鸽子的服务

2000/XP系统:

1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”-》“查找”,“查找目标”输入“IEXPLORE.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为IEXPLORE_Server)。

3、删除整个IEXPLORE_Server项。

98/me系统:

在9X 下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run项,我们立即看到名为IEXPLORE.exe的一项,将IEXPLORE.exe项删除即可。

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的IEXPLORE.exe、IEXPLORE.dll、IEXPLORE_Hook.dll以及IEXPLORE.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。