1.
在“服务”列表里停止Backdoor.Graybird相关的自动启动项;
2.
删除Backdoor.Graybird启动服务所指向的程序;
3.
删除在Symantec
AntiVirus隔离区里的Backdoor.Graybird相关文件;
4.
关闭系统还原,目的是清除可能在系统还原文件夹中的Backdoor.Graybird;
5.
在注册表中,删除Backdoor.Graybird相关;
你还可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
最快的方法:打开我的电脑-工具-文件夹选项-打开查看所有文件以及不隐藏受系统保护的文件选项后
重新启动计算机 按F8 进入安全模式后
删除:
WINDOWS\G_Server.exe
WINDOWS\G_Server_HOOk.DLL
WINDOWS\G_Serverkey.DLL
WINDOWS\G_Server.DLL
就可以了
一、病毒标签:
病毒名称: Backdoor.GrayBird.ad
中文名称: 灰鸽子
病毒类型: 木马
危害等级: 高
文件长度:382 KB
感染系统: Windows9x以上的所有版本
编写语言: Delphi 6
加壳类型:TeLock
二、病毒描述:
灰鸽子(Backdoor.GrayBird.ad)运行后,主动打开后门端口(端口号不确定),攻击者对感染主机可进行远程控制。若服务端配置属自动上线型,则通过配置服务端时设定的URL,主动连接到远程攻击者并接受控制。
灰鸽子(Backdoor.GrayBird.ad)利用“反弹端口原理”,可穿过某些防火墙。远程攻击者连接成功后可监控服务端屏幕,截获感染主机的oicq、icq, 网络游戏,邮箱,上网账号等敏感信息,同时还可在服务端开启Socks5 及 FTP服务,并且具有修改文件、注册表功能,是一种危险性较高的木马。
灰鸽子(Backdoor.GrayBird.ad)运行后,会创建3个病毒文件,在安全模式下才可看到。
三、行为分析:
1、灰鸽子运行后,会拷贝服务端到系统,存在于以下路径%System%, %Windows%, %temp%,服务端名称可能为
GrayPigeon.exe , GrayPigeon.bat , GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
2、修改注册表并添加键值,从而达到随系统启动的目的:
如果是win9x系统,将向win.ini中添加键值。
如果是NT系统,将向如下3个启动项中添加键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3、灰鸽子运行后,会创建三个病毒文件,IExplorer.exe,IExplorer.dll, IExplorer_Hook.dll,同时将IExplorer_Hook.dll注入到系统每个进程中。
4、在随机端口开设后门,等待攻击者远程连接。
四、清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置
木马防线:
木马防线是一款专业级反木马信息安全产品,具备已知木马查杀、未知木马检测、木马防火墙、管理工具、在线升级等功能,能够通过对驱动器、内存、敏感区域、特定目录的扫描,全面查杀隐藏在系统中的各类木马(Trojans)、后门(Backdoors)、蠕虫(Worms)、间谍软件(Spyware)、广告软件(Adware)等恶意程序。
该产品集成了智能未知木马检测引擎(SVE)和强大的木马防火墙,不但可以检测和清除电脑中存在的未知木马程序,还能够监控内存、查封指定IP地址和端口,有效拦截诸如“冲击波”、“震荡波”等漏洞攻击病毒,为系统提供多层保护。
另外,木马防线还提供了IE修复、共享管理、任务管理、进程管理、端口进程关联、网络连接状态等众多专业工具,最大限度地满足专业人士的安全需要。
下载地址:http://www.haola.cn/Html/Computer/200595212100.html