Red de conocimiento del abogados - Bufete de abogados - Señal de socorro de emergencia por radio... ¿Alguien puede decirme cómo matar este virus?

Señal de socorro de emergencia por radio... ¿Alguien puede decirme cómo matar este virus?

El "virus de la paloma gris" se ha extendido rápidamente últimamente. Muchas personas en el 5T ocultan virus con el pretexto de lanzar el software antivirus Kaspersky, especialmente archivos en paquetes autoextraíbles que son los más peligrosos. ¡Sus programas de virus pueden ejecutarse automáticamente después de la autodescompresión y eliminar automáticamente los archivos fuente después de generar caballos de Troya! El autor del virus Gray Pigeon nunca ha dejado de desarrollar Gray Pigeon. Para evitar la detección por parte del software antivirus, algunas personas agregaron deliberadamente diferentes shells a Gray Pigeon, lo que resultó en la aparición de nuevas variantes de Gray Pigeon en Internet. Ahora, es posible que incluso la última versión del software antivirus no pueda detectarlo y eliminarlo por completo. Es posible que se elimine por completo con un antivirus normal, ¡pero el programa troyano puede regenerarse después de reiniciar! ! ! ¡Aquí, combinado con mi experiencia real, proporciono un método manual para eliminar el "Virus de la Paloma Gris"!

El principio de funcionamiento de Gray Pigeon

El troyano Gray Pigeon se divide en dos partes: el cliente y el servidor. Los piratas informáticos (digámoslo así) manipulan el cliente y utilizan la configuración del cliente para generar programas de servidor. El nombre del archivo del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan este troyano a través de varios canales (comúnmente conocidos como troyanos o puertas traseras). Hay muchas formas de crear un caballo de Troya. Por ejemplo, un hacker puede vincularlo a una imagen y luego enviárselo a tu chica tímida a través de QQ para engañarte y hacer que corras. También puede configurar una página web personal para engañarlo y hacer clic y utilizar las vulnerabilidades de IE para descargar troyanos y ejecutarlos en su máquina. También puedes subir archivos a sitios web de descarga de software y disfrazarlos como software interesante para engañar a los usuarios para que los descarguen...

Debido a la gran variedad de virus de palomas, sus nombres de archivos también varían mucho. Recientemente, (backdooring. gpigen. SGR) es el más común y es difícil de tratar. Se generarán tres archivos de virus en el directorio %Windows% del sistema infectado, a saber, G_Server.exe, G_Server.dll y G_Server.dll.

Después de ejecutar G_Server.exe, se copiará a Windows (el directorio de Windows del disco del sistema en 98/xp y el directorio Winnt del disco del sistema en 2k/NT), y luego libere G_Server.dll y G_Server_Hook.dll del cuerpo principal al directorio de Windows. G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. Algunos Gray Pigeons lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado.

Tenga en cuenta también que el nombre G_Server.exe no es fijo, pero se puede personalizar. Por ejemplo, cuando el nombre de archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y a_hook.dll.

El archivo G_Server.exe en el directorio de Windows Regístrese como un servicio (el sistema 9X escribe el elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que enciende la computadora. Después de ejecutar, inicie G_Server.dll y G_Server_Hook.dll y salga automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después de ser envenenado, no podemos ver el archivo del virus, ni podemos ver los servicios registrados por el virus. Con diferentes configuraciones del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.

Las características del virus Gray Pigeon son "tres cosas ocultas": procesos ocultos, servicios ocultos y archivos de virus ocultos.

Detección manual de Gray Pigeon

Debido a que Gray Pigeon intercepta llamadas API, en modo normal, el archivo troyano y sus elementos de servicio registrados están ocultos, lo que significa que incluso si puedo configurar No lo veo incluso si hago clic en "Mostrar todos los archivos ocultos". Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual.

Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo del lado del servidor definido por el usuario, se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Con esto, podemos detectar manualmente los troyanos Gray Dove con mayor precisión.

Debido a que Grey Pigeon se ocultará en modo normal, la operación de detección de Grey Pigeon debe realizarse en modo seguro. El método para ingresar al modo seguro es iniciar la computadora, presionar F8 antes de que el sistema ingrese a la pantalla de inicio de Windows y seleccionar "Modo seguro" en el menú de opciones de inicio que aparece.

1. Debido a que los archivos de Gray Pigeon tienen atributos ocultos, debes configurar la ventana para que muestre todos los archivos. Abra Mi PC, seleccione Herramientas - Opciones de carpeta, haga clic en Ver, desmarque la casilla antes de Ocultar archivos protegidos del sistema operativo, seleccione Mostrar todos los archivos y carpetas en Archivos y carpetas ocultos y luego haga clic en Aceptar.

2. Abra el "Archivo de búsqueda" de Windows, ingrese "*_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (98/xp predeterminado es C:\\ Windows, 2k/NT es C:\\Winnt).

3. Después de la búsqueda, se encontró un archivo llamado G_Server_Hook.dll en el directorio de Windows (excluidos los subdirectorios).

4. Según el análisis del principio de la paloma gris, sabemos que G_Server_Hook.dll es un archivo de la paloma gris, por lo que habrá archivos G_Server.exe y G_Server.dll en el directorio de instalación del sistema operativo. Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo G_ServerKey.dll que registra las operaciones del teclado.

También probé lo anterior, pero no sé cómo operarlo, así que no puedo encontrarlo en absoluto. Después de eso, descargué una barredora de WINDOWS, escaneé el disco duro y sequé todos los archivos.

Después de estos pasos, básicamente se puede determinar que estos archivos son troyanos Gray Pigeon, que se pueden eliminar manualmente a continuación. Eliminación manual de palomas grises

Después del análisis anterior, es fácil deshacerse de las palomas grises. Para borrar Gray Pigeon aún es necesario operar en modo seguro, que incluye principalmente dos pasos: 1. Borrar el servicio Gray Pigeon; eliminar los archivos de programa de Gray Pigeon.

Nota: Esta operación debe realizarse en modo seguro. Para evitar un mal funcionamiento, se debe realizar una copia de seguridad antes de limpiar.

Primero, borre el servicio Gray Pigeon

sistema 2000/XP:

1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", ingrese. "Regedit.exe" y confirme), abra la clave de registro de la máquina local HKEY\\system\\current control set\\service.

2. Haga clic en Editar-Buscar, ingrese "G_server.exe" en el destino de búsqueda, haga clic en Aceptar y busque los elementos de servicio de Gray Pigeon.

3. Elimine el elemento de servicio donde se encuentra el valor clave completo de G_server.exe.

[Todo es así. Tal vez sea porque no entiendo la operación y no puedo encontrarla en absoluto, así que utilicé un método de baja B, que consiste en buscar el nombre del archivo de Li. en la barredora, y realmente lo encontré. Jaja ~ `Si no puedes encontrar el resultado D, significa que no te registraste para el proyecto, así que ingresaste directamente.

Sistema 98/me:

Por debajo de 9X, Grey Pigeon solo tiene un elemento inicial, lo que facilita superar el nivel. Ejecute el editor de registro, abra HKEY_Current_User\\Software\\Microsoft\\Windows\\Current Version\\Run e inmediatamente verá un proyecto llamado g_server.exe. Simplemente bórralo.

En segundo lugar, elimine los archivos del programa Grey Pigeon.

Eliminar los archivos del programa Gray Pigeon es muy sencillo. Simplemente elimine los archivos G_server.exe, G_server.dll, G_server_Hook.dll y G_serverkey.dll en el directorio de Windows en modo seguro y luego reinicie la computadora. Para entonces, las palomas grises ya habían sido eliminadas.

Adjunto:

De hecho, la mayoría del software antivirus aún puede ayudar a detectar y eliminar el virus Grey Pigeon. Utilizo el software antivirus Rising, que se ha actualizado a la última versión. En modo normal, Rising ha eliminado todos los archivos excepto el archivo G_server.exe. De hecho, no esperaba que Rising los matara a todos, pero Rising en realidad me ayudó mucho, es decir, me ayudó a determinar el tipo de virus de la paloma gris. Eliminé tres archivos, G_server.dll, G_server_Hook.dll y G_serverkey.dll, así como archivos adjuntos a otros procesos liberados por los dos primeros archivos. Esto me aseguró que el archivo restante debía ser G_server.exe, así que reinicié el archivo. Para ingresar al modo seguro, primero configure Windows para que muestre todos los archivos. Abra Mi PC, seleccione Herramientas - Opciones de carpeta, haga clic en Ver, desmarque la casilla antes de Ocultar archivos protegidos del sistema operativo, seleccione Mostrar todos los archivos y carpetas en Archivos y carpetas ocultos y luego haga clic en Aceptar. Luego abra el "Archivo de búsqueda" de Windows, porque el archivo de virus definitivamente es G_server.exe, pero al mismo tiempo, para estar seguro, ingrese G_server*. *Busque en la búsqueda y seleccione todas las particiones y encuentre G_server.exe en el directorio C:\windows, pero para mi sorpresa encontré una copia de este archivo en la unidad D, sus propiedades también están ocultas, así que se lo recomiendo a todos.

Además, necesito ingresar al registro para eliminar la entrada de la clave de servicio. Utilicé la función de búsqueda del registro para buscar G_server y encontré el valor de la clave de servicio del virus Gray Pigeon. Descubrí que había un valor de clave que decía "...Gray Pigeon...". Esto me puso furioso. así que cambié toda la clave de servicio. Todo eliminado. En este punto, después de eliminar el virus Gray Pigeon, reinicié la computadora y comencé mi propio trabajo, combinando información en Internet.