在开机时按F8在安全模式的运行中输入regedit就可以。 灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server。exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。
种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… G_Server。
exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server。dll和G_Server_Hook。dll到windows目录下。G_Server。
exe、G_Server。dll和G_Server_Hook。dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey。dll的文件用来记录键盘操作。注意,G_Server。exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A。
exe时,生成的文件就是A。exe、A。dll和A_Hook。dll。 Windows目录下的G_Server。exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server。dll和G_Server_Hook。
dll并自动退出。G_Server。dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook。dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook。
dll有时候附在Explorer。exe的进程空间中,有时候则是附在所有进程中。 灰鸽子的手工检测 由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook。dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook。dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。 经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除 经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。 注意:为防止误操作,清除前一定要做好备份。 一、清除灰鸽子的服务 2000/XP系统: 1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit。
exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 2、点击菜单“编辑”-》“查找”,“查找目标”输入“game。exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。 98/me系统: 在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game。
exe的一项,将Game。exe项删除即可。 二、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game。exe、Game。dll、Game_Hook。dll以及Gamekey。dll文件,然后重新启动计算机。
至此,灰鸽子已经被清除干净。 小结 本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。
当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。 同时随着瑞星杀毒软件2005版产品发布,杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力,灰鸽子病毒可以被安全有效地自动清除,需要用户手动删除它的机会也将越来越少。
病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook。dll有时候附在Explorer。exe的进程空间中,有时候则是附在所有进程中 。
最好用专杀工具,网上有许多
将上述内容保存为一个*.reg文件,(关于大小写与空格的提示:windows 9x/me,第一行一定是“regedit4”,而且必须全部大写。而windows 2000/xp,第一行一定要是“windows registry editor version 5.00”。该信息非常重要,如果不正确,虽然在双击注册表文件后会显示已
用这个工具可以解开注册表
使用记事本打开一个文件,在其中添加以下内容:
Dim WSHShell
Set WSHShell=WScript.CreatObject("WScript.Shell")
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
MsgBox "OK,Unlocked the Registry Table"
最后将文件存为unlock.vbs ,然后双击该文件即可。
开始|运行regedit, 打开HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Policies\system"DisableTaskMgr" = "1"改为"DisableTaskMgr" = "0"
还是重新安装系统好
重新装系统,这样才是最安全的做法!
新年新气象,重新安装操作系统,一刀切断是非根;
重装系统
杀毒。打补丁
注册表的禁用及启用方法 注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
这都是些重要的东西,如何防止别人修改你的注册表呢,我们可以让注册表编辑器regedit。exe禁止运行。方法如下: 1、打开注册表,找到hkey_current_user\software\microsoft\windows\currentversion\policies\system,如果在policies下面没有system的话,请请在它下面新建一项(主键),将其命名为system; 2、然后在右边空白处新建一个双字节(dword)值,将其命名为disableregistrytools; 3、双击disableregistrytools,将其数值数据修改为1(disableregistrytools的键值为1和0时分别表示锁住和解锁) 通过上述之后,退出注册表编辑器,再次打开注册表时,则提示“注册表编辑已被管理员禁用”,以后别人、甚至是你都无法再用regedit。
exe 。 如果要恢复并可以进行编辑的话,使用windows自带的记事本(或者任意的文本编辑器)建立一个*。reg文件(*表示文件名可任意取)。内容如下:。 regedit4 [hkey_current_user\software\microsoft\windows\currentversion\policies\system] "disableregistrytools"=dword:00000000 将上述内容保存为一个*。
reg文件,(关于大小写与空格的提示:windows 9x/me,第一行一定是“regedit4”,而且必须全部大写。而windows 2000/xp,第一行一定要是“windows registry editor version 5。
00”。该信息非常重要,如果不正确,虽然在双击注册表文件后会显示已经导入,但其实并没有成功修改注册表文件的内容。第二行为空行。第三行为子键分支。第四行为该子键分支下的设置数据,其中的“dword”必须全部小写。 双击打开该reg文件,当询问您“确实要把*。
reg内的信息添加到注册表吗?”,选择“是”,即可将信息成功输入注册表中。 好了,以上就是关于注册表的禁用和重新启用的方法。这里是用手工的方法修改注册表来保护。现在网上含有恶意代码的网页也能锁定你的注册表,大家应该注重防范。
以前我也试过,好象是打一串命令,然后保存未vbs文件,再运行就可以了,什么命令我忘了,不好意思.
买个正版杀毒软件,一劳永逸,既解决眼前问题,又防患未然,以后都不用愁了。建议你买瑞星杀毒软件,终身免费升级。
先上瑞星网上杀毒,然后再上3721上修改注册表被禁用的项目.
下一个专杀工具。 瑞星和金山都有。
运行 c,上面有兄弟说的很明白。我再附一张图。
简单一点的办法,下个超级兔子,一键搞定!
可以用雅虎助手里面有灰鸽子专杀工具.我也曾经中过DU,现已成功解决!
要小心啊 最近病毒很多 用上网助手解注册表吧 另外用一款好的正版杀毒软件在安全模式下杀毒
用瑞星杀毒软件2006啊
yahoo助手里有专杀工具可以帮助你。
软件杀毒,不是啥大问题呦
把REGEDIT.EXE(REGEDIT32.EXE)改为REGEDIT.COM(REGEDIT32.COM),再试试能否打开。如能打开,清除的方法按楼上“张云毅 ”说的做。
REGEDIT4 [Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools]0000 保存为REG后缀
我告诉楼主你一个简单的方法: 在“开始-运行”中输入gpedit.msc,【确定】后打开“组策略”窗口。在“组策略”的左窗口中依次找到“用户配置→管理模板→系统”分支,在右边的窗口中双击【阻止访问注册表编辑工具】,打开其属性对话框,并在设置中点选【已禁用】,然后【应用】并【确定】就可以了。现在,再在“开始-运行”中输入Regedit看看,是不是你的注册表编辑器又回来了?
下一个专杀工具。 瑞星和金山都有。
删除灰鸽子程序文件:下载一个瑞星的灰鸽子的杀毒文件
用这个工具可以解开注册表
使用记事本打开一个文件,在其中添加以下内容:
Dim WSHShell
Set WSHShell=WScript.CreatObject("WScript.Shell")
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
MsgBox "OK,Unlocked the Registry Table"
最后将文件存为unlock.vbs ,然后双击该文件即可。
找张支持光盘杀毒的正版瑞星,重起从光驱杀毒
使用记事本打开一个文件,在其中添加以下内容:
Dim WSHShell
Set WSHShell=WScript.CreatObject("WScript.Shell")
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
MsgBox "OK,Unlocked the Registry Table"
最后将文件存为unlock.vbs ,然后双击该文件即可。
要小心啊 最近病毒很多 用上网助手解注册表吧 另外用一款好的正版杀毒软件在安全模式下杀毒
本人开放的共享资料里有恢复注册表的工具
灰鸽子已经有了很多变种,建议你进瑞星网站下载专杀, 另外,这里也有注册表修复工具
用这个工具可以解开注册表 重点还是要 杀毒!
DOS杀毒,下个优化大师,应该可以。
重装系统
答:可能是盗版的使用KV2005详情>>
答:你只需要重起电脑,点击F8进入安全模式,选择Administrator用户进入,你在控制面板里的用户管理里,就可以任意更改你的管理员密码详情>>
