微点交流论坛 - 反病毒 - 【转贴】灰鸽子的快速手工检测

微点交流论坛 » 反病毒 » 【转贴】灰鸽子的快速手工检测

男人海洋
新手上路

新手上路

积分 2
发帖 1
注册 2005-9-26

#1 【转贴】灰鸽子的快速手工检测

［转自］http://www.54master.com/bbs/cgi- ... m=4&topic=18748
作者：红桃jacker

大家知道灰鸽子版本众多，一般用户靠杀毒软件进行检测，当前能够安装并且正确升级病毒库的用户还是太少了，同时，商业版本的杀毒软件也不被所有网友接受，好多网友直接就不设防导接入网络，导致灰鸽子成为一个多发和高发的木马。
首先要解决的任务是如何检测灰鸽子，
网络上介绍的方法众多，俺用了半年多的时间一直帮网友检测灰鸽子的经历来谈谈，怎么快速检测灰鸽子。
1、请下载汉化版hijackthis备用。
HijackThis v1.99.1  首页绑架克星
它能够将绑架您浏览器的程序揪出来！并且移除之！或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，进行分析。本来它只能看看浏览器绑架的问题，再众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。rvI5h
2、直接运行hijackthis.exe
   a、选  以上都不是，只是进入启动程序（进入主界面）
   b、然后点左下角的扫描
   c、再扫描出来的界面中直接查找023项目，就是服务项，
如果发现有这样的023项目，那么恭喜你了，中了灰鸽子
如：
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - NT 服务: Generic_Save_Server (Fast Double) - Unknown owner - C:\WINDOWS\Generic Hoster.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\1.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
等等，共同特点是再023项，Gray_Pigeon_Server+Unknown owner +C:\WINDOWS（就是直接安装在系统盘/win下面）

※ ※ ※ 本文纯属【男人海洋】个人意见，与【微点交流论坛】立场无关※ ※ ※

2005-11-20 12:25

就是我
新手上路

版主

积分 8
发帖 6
注册 2005-7-15

#2 回复: 【转贴】灰鸽子的快速手工检测

好文章，加入精华．

※ ※ ※ 本文纯属【就是我】个人意见，与【微点交流论坛】立场无关※ ※ ※

2005-11-20 13:15

anna
新手上路

初级会员

积分 26
发帖 26
注册 2005-10-31

#3 回复: 【转贴】灰鸽子的快速手工检测

HiJackThis工具是不错，对高手而言是不个错的辅助工具

微点对灰鸽子是见一个杀一个，不用自己动手，呵呵。。。

※ ※ ※ 本文纯属【anna】个人意见，与【微点交流论坛】立场无关※ ※ ※

2005-11-21 17:05

黑鸟
新手上路

积分 13
发帖 13
注册 2006-7-10

Quote:

Originally posted by anna at 2005-11-21 17:05:
HiJackThis工具是不错，对高手而言是不个错的辅助工具

微点对灰鸽子是见一个杀一个，不用自己动手，呵呵。。。

支持支持

※ ※ ※ 本文纯属【黑鸟】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-7-10 23:40

此情可待
注册用户

积分 55
发帖 55
注册 2006-7-12
来自上海

#5 也不全是吧

我刚用完,023里面还有一个是微点的程序,不会微点也有灰鸽子吧

※ ※ ※ 本文纯属【此情可待】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-7-12 18:36

aidi
中级用户

新手上路

积分 256
发帖 221
注册 2006-3-6

#6

HijcakThis日志中的每一行以一个分类名称开始。
要查看主窗口扫结果列表中的某个项目类别的更多详细信息，请选定该项目所在行使其高亮显示，然后点击“关于该项目的信息...”按钮即可弹出该项目类别的详细信息说明。

R - 默认起始主页或默认搜索页注册表键值的改变，或新建的可能导致其改变的注册表键值
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表键值（V）
R1 - 新建的注册表键值（K）
R3 - 在本应只有一个键值的地方新建的额外键值
F - ini文件中的启动项或映射到注册表中的键值
F0 - System.ini中的启动项改变值
F1 - Win.ini中的启动项新建值
F2 - 注册表中System.ini映射区中的启动项或UserInit项后面启动的其他程序
F3 - 注册表中Win.ini文件映射区中的启动项
N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变。
N1 - Netscape 4.x中，prefs.js的改变
N2 - Netscape 6中，prefs.js的改变
N3 - Netscape 7中，prefs.js的改变
N4 - Mozilla中，prefs.js的改变
O - 其它类，包含很多方面，下面一一详述
O1 - 在Host文件中添加的IP地址域名解析映射
O2 - IE浏览器辅助对象(BHO模块)
O3 - IE工具栏
O4 - 随系统加载的自启动顶
O5 - 使控制面板中隐去Internet选项
O6 - 禁用Internet选项
O7 - 禁用注册表编辑器
O8 - IE的右键菜单中的新增项目
O9 - 额外的IE“工具”菜单项目及工具栏按钮
O10 - Winsock LSP浏览器劫持
O11 - IE“高级选项”中的新项目
O12 - IE插件
O13 - 对IE默认的URL前缀的修改
O14 - IERESET.INF文件中的改变
O15 - “受信任的站点”中的不速之客
O16 - 下载的程序文件，即下载程序目录下的ActiveX对象
O17 - 域劫持/DNS服务器
O18 - 额外协议和协议劫持程序
O19 - 用户样式表劫持
O20 - 注册表键值AppInit_DLLs处的自启动项
O21 - 注册表键 ShellServiceObjectDelayLoad (SSODL)处的自启动项
O22 - 注册表键 SharedTaskScheduler 处的自启动项

O23 - 列举 NT 服务

5楼看到的可能是微点的服务启动项；
023只是代表系统启动的服务项，并不是专指灰鸽子的！

※ ※ ※ 本文纯属【aidi】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-7-13 10:10

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号