¿Qué es el virus que bloquea la computadora tan pronto como se enciende en el escritorio?
El principio de funcionamiento de Gray Pigeon
El troyano Gray Pigeon se divide en dos partes: el cliente y el servidor. Los piratas informáticos (llamémoslos así) controlan el cliente y utilizan la configuración del cliente para generar programas del lado del servidor. El nombre del archivo del lado del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan este troyano a través de varios canales (comúnmente conocidos como siembra de troyanos o apertura de puertas traseras). Hay muchas formas de implantar un troyano. Por ejemplo, un hacker puede vincularlo a una imagen y luego pretender ser una chica tímida y pasarte el troyano a través de QQ para incitarte a ejecutarlo. También puedes configurar un troyano. página web personal para atraerlo. Después de hacer clic, puede usar las vulnerabilidades de IE para descargar el caballo de Troya en su máquina y ejecutarlo. También puede cargar el archivo en un sitio web de descarga de software y pretender ser un software interesante para atraer a los usuarios a descargar el archivo. . ......
Dado que existen muchas variantes del virus Gray Pigeon, sus nombres de archivos también varían mucho. Recientemente, se ha descubierto que la mayoría de ellos son del tipo (Backdoor.GPigeon). .sgr), que es difícil de tratar En el sistema infectado, se generan tres archivos de virus en el directorio de Windows: G_Server.exe, G_Server.sgr, G_Server.exe, G_Server.exe y G_Server.exe. Server.exe, G_Server.dll y G_Server_Hook.dll.
Después de ejecutarse, G_Server.exe se copiará al directorio de Windows (98/xp es el directorio de Windows del disco del sistema, 2k/NT es el directorio Winnt del disco del sistema) y luego a G_Server. dll y G_Server_Hook.dll Extraer al directorio de Windows. Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. Gray Pigeon también lanzará un archivo llamado G_ServerKey.dll para registrar las operaciones del teclado.
También debe tenerse en cuenta que el nombre del archivo G_Server.exe no es fijo, se puede personalizar. Por ejemplo, cuando el nombre del archivo del lado del servidor se personaliza como A.exe, los archivos generados son. A.exe, A.dll y A_Hook.dll.
El archivo G_Server.exe en el directorio de Windows se registrará como un servicio (el sistema 9X escribirá el elemento de inicio del registro) y se ejecutará automáticamente cada vez que se encienda. Después de ejecutar, G_Server. .dll y G_Server_Hook se iniciarán y saldrán automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de la consola, mientras que G_Server_Hook.dll oculta las llamadas API interceptando virus; Por lo tanto, después del envenenamiento, no podemos ver el archivo de virus ni los elementos de servicio registrados por el virus. Debido a las diferentes configuraciones de los archivos del lado del servidor de Gray Dove, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.
Las características del virus Gray Pigeon son "tres cosas ocultas": procesos ocultos, servicios ocultos y archivos de virus ocultos.
Detección manual de Gray Pigeon
Debido a que Gray Pigeon intercepta llamadas API, G_Server_Hook.dll no puede detectar el archivo troyano y sus archivos de servicio registrados en modo normal. Los archivos troyanos y sus archivos de servicios registrados están ocultos, es decir, no puede verlos incluso si está configurado "Mostrar todos los archivos ocultos". Además, los nombres de los archivos del servidor Gray Pigeon se pueden personalizar, lo que dificulta su detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Con esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión.
Dado que Grey Pigeon se esconde en modo normal, Gray Pigeon debe ser detectado en modo seguro. El método para ingresar al modo seguro es: iniciar la computadora, presionar la tecla F8 antes de que el sistema ingrese a la pantalla de inicio de Windows y seleccionar "Modo seguro" en el menú de opciones de inicio que aparece.
1. Dado que los archivos de Gray Pigeon tienen atributos ocultos, es necesario configurar Windows para mostrar todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", elimine la marca de verificación frente a "Ocultar archivos protegidos del sistema operativo" y haga clic en el elemento "Ocultar archivos y carpetas" Seleccione "Mostrar todos los archivos y carpetas" y haga clic en Aceptar.
2. Abra el "Archivo de búsqueda" de Windows, ingrese "*_hook.dll" en el nombre del archivo y seleccione el directorio de instalación de Windows para la ubicación de búsqueda (98/xp predeterminado es C:\\ ) Windows, 2k /NT es C:\\Winnt).
3. Después de la búsqueda, se encontró un archivo llamado G_Server_Hook.dll en el directorio de Windows (excluidos los subdirectorios).
4. Según el análisis del principio de la paloma gris, sabemos que G_Server_Hook.dll es un archivo de la paloma gris, por lo que también habrá archivos G_Server.exe y G_Server.dll en el directorio de instalación del sistema operativo. . Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo G_ServerKey.dll para registrar las operaciones del teclado.
[Probé el método anterior, pero no sabía por qué no sabía cómo operarlo, así que no pude encontrarlo en absoluto. Luego descargué un eliminador de troyanos para WINDOWS y lo escaneé. el disco duro y encontró todos los archivos troyanos]
Después de los pasos anteriores, puede determinar que estos archivos son troyanos y luego puede eliminarlos manualmente. Eliminar manualmente Gray Pigeon
Después del análisis anterior, es muy fácil eliminar Gray Pigeon. Para eliminar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales: 1. Eliminar el servicio Gray Pigeon. 2. Eliminar los archivos del programa Gray Pigeon.
Nota: Esta operación debe realizarse en modo seguro Para evitar un mal funcionamiento, asegúrese de realizar una copia de seguridad antes de eliminarla.
1. Elimine el servicio Gray Pigeon
Sistema 2000/XP:
1. Abra el editor de registro (haga clic en "Inicio" - "Ejecutar" e ingrese). "Regedit"). "Regedit.exe", OK). Abra la clave de registro HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services.
2. Haga clic en el menú "Editar" - "Buscar", ingrese "G _server.exe" en "Objetivo de búsqueda", haga clic en Aceptar y podremos encontrar los elementos de servicio de Grey Pigeon.
3. Elimine toda la clave G_server.exe donde se encuentra el elemento de servicio.
[Esto puede deberse a que no sé cómo operarlo, por lo que no pude encontrarlo en absoluto, así que utilicé un método de bajo nivel, que consistía en buscar el nombre del archivo de G_server.exe basó en el limpiador y lo encontró. Jaja~~`No se puede encontrar, significa que no hay entrada de registro, simplemente elimínela del archivo]
98/me:
Bajo 9X, solo hay una paloma gris elemento de inicio, por lo que es mucho más fácil eliminarlo. Ejecute el editor de registro y abra la clave HKEY_CURRENT_USER\\\\Software\\Microsoft\\\\Windows\\\\CurrentVersion\\\\\Run. Inmediatamente verá una entrada llamada G_server.exe. Simplemente elimine el archivo. elemento .exe.
Dos: Eliminar archivos de programa de Gray Pigeon
Eliminar archivos de programa de Gray Pigeon es muy sencillo: simplemente elimine G_server.exe, G_server.dll y G_server_Hook en el directorio de Windows en modo seguro. dll y G_serverkey.dll y luego reinicie la computadora. En este punto, Grey Pigeon ha sido eliminado.
Adjunto:
De hecho, la mayoría del software antivirus ahora puede ayudar a detectar y eliminar el virus Gray Pigeon. El software antivirus Rising que uso se ha actualizado a la última versión. En modo normal, además de comprobar el archivo G_server.exe, Rising también comprueba todos los archivos. exe, en realidad no espero que Rising pueda eliminarlos a todos, pero Rising en realidad me ayudó mucho, es decir, me ayudó a determinar el tipo de virus Gray Pigeon. Cuando usé Rising para eliminar G_server.dll, G_server_Hook.dll y G_serverkey .dll, y los archivos liberados por los dos primeros archivos se adjuntaron a otros procesos, lo que me hizo juzgar que los archivos restantes deben ser G_server.exe, pero no esperaba que Rising pudiera verificar todos. archivos, pero Rising en realidad me ayudó mucho, eso me ayudó a determinar el tipo de virus de la paloma gris. server.exe, así que reinicie la computadora en modo seguro y primero configure Windows para que muestre todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", elimine la marca de verificación delante de "Ocultar archivos protegidos del sistema operativo", en el elemento "Ocultar archivos y carpetas" seleccione "Mostrar todos los archivos y carpetas." y haga clic en "Aceptar". Luego abra el "Archivo de búsqueda" de Windows, porque el archivo de virus se identificó como G_server.exe, pero al mismo tiempo, para estar seguro, ingrese G_server *.* en la búsqueda y seleccione todas las particiones de G_server. encontrado en el directorio C:\indows.exe, pero inesperadamente, este archivo también se encontró en la copia de la unidad D. Sus atributos también están ocultos, por lo que se recomienda eliminarlo después de buscar en todas las particiones.
Además, debe ingresar al registro para eliminar el valor de la clave de servicio. El autor utilizó la función de buscar G_server en el registro para encontrar el valor de la clave de servicio del virus Gray Pigeon y lo encontró. Uno de los valores clave escritos es ". ....Grey Pigeon...." Estaba tan enojado que eliminé toda la clave de servicio.
De esta manera, se completó la eliminación del virus Gray Pigeon. Reinicié la computadora y comencé mi propio trabajo. Combiné información relevante en Internet para escribir este artículo para todos.