我的朋友电脑里最近多了一个Graypigeon的东西,好象被远程控制了,是怎么回事啊,可以清除掉吗
热心网友
应该是中了木马灰鸽子。解决方法参考下文:病毒名称: 中文名称: 灰鸽子病毒类型: 木马危害等级: 高文件长度:382 KB感染系统: Windows9x以上的所有版本编写语言: Delphi 6加壳类型:TeLock 二、病毒描述: 灰鸽子( )运行后,主动打开后门端口(端口号不确定),攻击者对感染主机可进行远程控制。若服务端配置属自动上线型,则通过配置服务端时设定的URL,主动连接到远程攻击者并接受控制。 灰鸽子( )利用“反弹端口原理”,可穿过某些防火墙。远程攻击者连接成功后可监控服务端屏幕,截获感染主机的oicq、icq, 网络游戏,邮箱,上网账号等敏感信息,同时还可在服务端开启Socks5 及 FTP服务,并且具有修改文件、注册表功能,是一种危险性较高的木马。 灰鸽子( )运行后,会创建3个病毒文件,在安全模式下才可看到。 三、 行为分析: 1、灰鸽子运行后,会拷贝服务端到系统,存在于以下路径%System%, %Windows%, %temp%,服务端名称可能为 GrayPigeon。exe , t , , Winlogo。EXE, Windows。EXE,RAVMOND。EXE, SP00LSV。EXE, SVCH0ST。EXE 2、修改注册表并添加键值,从而达到随系统启动的目的: 如果是win9x系统,将向 i中添加键值。 如果是NT系统,将向如下3个启动项中添加键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 3、灰鸽子运行后,会创建三个病毒文件,IExplorer。exe,IExplorer。dll, IExplorer_Hook。dll,同时将IExplorer_Hook。dll注入到系统每个进程中。 4、在随机端口开设后门,等待攻击者远程连接。 四、清除方案: 1、使用安天木马防线可彻底清除此病毒(推荐)。2、手工清除请按照行为分析删除对应文件,恢复相关系统设置 木马防线: 木马防线是一款专业级反木马信息安全产品,具备已知木马查杀、未知木马检测、木马防火墙、管理工具、在线升级等功能,能够通过对驱动器、内存、敏感区域、特定目录的扫描,全面查杀隐藏在系统中的各类木马(Trojans)、后门(Backdoors)、蠕虫(Worms)、间谍软件(Spyware)、广告软件(Adware)等恶意程序。 该产品集成了智能未知木马检测引擎(SVE)和强大的木马防火墙,不但可以检测和清除电脑中存在的未知木马程序,还能够监控内存、查封指定IP地址和端口,有效拦截诸如“冲击波”、“震荡波”等漏洞攻击病毒,为系统提供多层保护。 另外,木马防线还提供了IE修复、共享管理、任务管理、进程管理、端口进程关联、网络连接状态等众多专业工具,最大限度地满足专业人士的安全需要。附: 安天木马防线试用版下载地址: 。