我的电脑被别人控制了怎么办?-
2024-08-26编辑:本站
别人控制了我的电脑怎么办?~
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。另外,如果你发现了瑞星杀毒软件查不到的灰鸽子变种,也欢迎登陆瑞星新病毒上报网站(
http://up.rising.com.cn
)上传样本。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
小结
本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。
前些时候有人提出在服务中可以看出那些 启动类型为 "自动" 而 状态为 "停止"的服务为 可疑项 可以提供参考! 但请注意详细分别!
如果真的是别人控制了你的电脑的话,你就要考虑一下是否你的电脑已经中毒了,如果中毒的话,你就要安装杀毒软件和防火墙,基本上不会发生别人控制你的电脑的问题,至于你想控制他的电脑,你还是学好一些基本的电脑知识,以后可以根据自己的能力学一些黑客方面的知识。
拔网线,杀毒
关机 格电脑
我的电脑被黑客控制了2个多月了,一直装系统也不管用啊他就像一个鬼魅... 答:合伙人 企业 媒体 政府 其他组织 商城 手机答题 我的 我的电脑被黑客控制了2个多月了,一直装系统也不管用啊他就像一个鬼魅一样一直在我身边徘徊,怎么办啊 我来答 8个回答 #热议# 你觉得同居会更容易让感情变淡吗? 匿名用户 2010-09-29 展开全部 1.物理安全服务器应该安放在安装了监视...
·我的电脑被人远程控制了怎么解除??? 答:在安全模式下将电脑的远程控制功能关闭。如果不能解决,就只有格式化电脑系统盘,重装系统,并在电脑的安全等级中将安全级别调高。严禁随意连接不明网站。保持杀毒软件在线监控。
我的电脑被人黑了。被人远程了。怎么办??? 答:首先在感觉电脑运行不正常的时候先断开网线。1. Administrator账号要看好 Administrator账号是系统的管理员账号,在默认情况下系统没有对它设置密码,而其这样的弱口令,很容易被黑客检测并破解,所以为了你的系统安全,请给其账号设置强壮的安全密码。步骤1.首先在操作系统桌面里,右击“我的电脑”标签,...
我的电脑被人恶意控制,我该怎么办? 答:首先 你要断开网络连接,然后杀毒,实在不行就重装系统,
我的电脑被人控制了!怎么回事!!! 答:估计是被人安装了远程控制程序了,这东西杀毒软件通常不认,只有防火墙能管得了。如果不用防火墙,我觉得楼主应该作如下工作,打开任务管理器的进程管理,看看里边有没有什么可疑的进程,关掉就OK了。如果每次开机都出现,那么就有两种可能,一种是被人在浏览器中作了钩子,另一种则是在服务管理加入了...
怎样防止别人远程监控我的电脑? 答:关闭被别人远程监控,可以采取以下几种方法:1. 修改密码:如果远程控制是通过远程桌面进行的,修改电脑或手机的登录密码是一个有效的手段。确保密码足够复杂,不易被猜测。2. 关闭远程桌面:如果是电脑被远程监控,可以在“我的电脑”属性中,找到远程桌面选项,选择“不允许连接到这台计算机”。3. 退出...
在嘛 我的电脑被人远程控制了,开不了机,怎么办? 答:判断失误,被远程控制了,不会出现开不了机的状况。这就好比,死了的猪,拱不了好白菜。你的电脑无法开机,那是因为电脑坏了,找个懂电脑的老头儿,帮你重做一下系统就可以了,没啥大不了的。别动不动就远程控制。就现在,除了刘忙软件儿让你的电脑给他挖矿,谁会闲的无聊控制你电脑?你都这么问...
我的电脑被别人控制啦!怎么办啊? 答:删除GUEST用户,给你的用户名加上密码!删除共享,禁止别人远程控制!我们可以通过修改注册表来实现 Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa Name: RestrictAnonymous Type: REG_DWORD Value: 1 | 2 说明:把该值设为1时,匿名用户无法列举主机用户列表;把该值设为2时,匿名用户无法连接你的IPS$...
我的电脑被别人控制了怎么办? 答:1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。2、打开Windows的“搜索文件”,...
我的电脑被人远程控制了怎么解除??? 答:一:对放是开dos后门的话,可以在dos下打把他的帐号的话把他的帐号给删好了 二:对方用3389登陆的话,把远程连接给关了就好了 三:对方留的是木马后门的话比较难办了.如果是1:灰鸽子的话,你用一款工具叫做冰刃的,关掉ie浏览器,打开冰刃,你会看到有IE浏览器的进程,把IE的进程结束掉,重启计算机,对方...
1、下载杀毒软件检查是否中毒,杀毒即可。
2、检查下电脑的“远程桌面”中的“允许用户远程接到此电脑”是否选上了。如果选上了就取消。方法:在“我的电脑”-“系统设置”上右键-“远程”-“远程桌面”。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。另外,如果你发现了瑞星杀毒软件查不到的灰鸽子变种,也欢迎登陆瑞星新病毒上报网站(
http://up.rising.com.cn
)上传样本。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
小结
本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。
前些时候有人提出在服务中可以看出那些 启动类型为 "自动" 而 状态为 "停止"的服务为 可疑项 可以提供参考! 但请注意详细分别!
如果真的是别人控制了你的电脑的话,你就要考虑一下是否你的电脑已经中毒了,如果中毒的话,你就要安装杀毒软件和防火墙,基本上不会发生别人控制你的电脑的问题,至于你想控制他的电脑,你还是学好一些基本的电脑知识,以后可以根据自己的能力学一些黑客方面的知识。
拔网线,杀毒
关机 格电脑