[分享]：灰鸽子 backdoor.huigezi 手工删除

onebob

//在贪婪大陆down了个动画,down完后才发现怎么是exe结尾,
当时也没多想就直接运行了,运行后是mpc弹出来开始播放,看来文件是rmvb格式的,
但没多久后skynet就拦截到explorer.exe要打开wingate和ftp端口以及一堆对外的连接申请...
马上感觉肯定中毒了 - -^

用norton企业版8.0查了一下居然报告系统里没毒(病毒库是4月21日的) - -|||

去google上逛了一大圈才查到中的病毒是backdoor.huigezi的变种,但又不能确定是哪个变种,只能一个一个试下来,吐血 - -b

终于查到是backdoor.huigezi.e的变种,
特征是会在windows的system32的目录里生成SVCH0ST.DLL和SVCH0ST.EXE

(注意,正常的系统程序SVCHOST.EXE里的O是英文字母O,
而这个木马的客户端SVCH0ST.EXE里的0是数字0)

继续在google上查...发现目前只有瑞星2004(4月15号的病毒库)才能识别这个病毒
http://www.google.com/search?hl= ... svch0st.dll&lr=
google上居然只有这么一个查询结果... - -|||

最后去dos下把这两个文件干掉了...再去注册表里把SVCH0ST相关的键值删干净了...终于太平了... = =

正在用norton的人,都去查查自己的windows目录里有没有svch0st吧,注意,是数字里的0...

ps,
svch0st.exe是hs属性,所以用查找是查不到这个文件的,只能查到svch0st.dll
如果系统分区是fat32的,直接去dos下删了这两个文件就没事了,要注意得先用attrib去掉svch0st.exe的hs属性后才删得掉,
如果系统分区是ntfs的就比较麻烦了 - -b 装个ntfs for dos的正式版后再去dos下删吧
或者去安全模式下试试

老人小孩

楼主，不是这样的，江民公司反病毒社区对此进行了详尽的研究，具体怎样认识、怎样处理都有明确的步骤，看看下面这段话还有这个连接。
    “灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。
     灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。”

http://forum.jiangmin.com/dispbbs.asp?boardid=2&id=218816