plantmath - 2005-12-30 10:14:00
在正常进入系统的情况下(例如xp),可以先使用HijackThis这种进程管理工具来
监测并显示系统中所有正在运行的进程,因为用windows自带的任务管理器是不能够发现大部分的隐藏的进程的,毕竟任务管理器不是防黑工具。HijackThis的使用方法可以在网上搜索的到。
用HijackThis产生了进程的log文件以后,需要对其中的“Unkown owner”(未知所有者)一项特别注意,如果监测到的进程过多,可以用记事本文件“编辑”菜单下的“查找”
选项对结果中的“Unkown owner”进行查找。
我在查杀的过程中发现了这样的一项:
G_server2.0(pigeon server)- Unkown owner-C:\WINDOWS\System32\G_server2.0.exe,注意其中的Unkown owner这一项,就是需要查杀者注意寻找的地方。所有的木马程序都由两个部分组成,那么在感染者这一端就是程序的服务器端,这里显示的就是灰鸽子的服务器端在开机时自动运行的踪迹。这一段文字分三个部分来理解:前面的G_server2.0显示的是注册表中的项目,具体的操作见下文;中间的(pigeon server)指的是进程的属性,后面的C:\WINDOWS\System32\G_server2.0.exe显示的是启动进程的源文件。到这里我们就知道接下来所要做的步骤了:
先重新启动电脑,进入安全模式后在窗口中设置“显示受保护的系统文件”和“显示所有的隐藏文件夹和隐藏文件。”因为大多数木马都是保存在系统或隐藏的文件夹下。众所周知灰鸽子木马一般由三个文件组成“*-hook.dll、*.dll和*-.exe”这里的*所替代的文字都是一样的名称,那么我们可以先在电脑中找到这个*所代表的名称,在C盘的windows文件夹下搜索*-hook.dll,即可找到*所代表的名称,再将这三个文件一并删除,奇怪的是我只是找到了一个mag-hook.dll文件,没有找到另外两个mag.dll和mag.exe文件。不过还好在前面我通过HijackThis找到了灰鸽子的服务器文件的路径,那么现在直接将这个文件找到并删除即可。接下来我们进入注册表里面,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下面查找前面所提到的G_server2.0这一项,将这一项删除即可。如果觉得不保险还可以查找前面搜到的*-hook.dll这一项,这里我在查杀的过程中却发现在注册表里面确实可以查找到mag-hook.dll、mag.dll和mag.exe这三项,但是在计算机中却找不到后两个文件,还望高手指点。
这些步骤完成以后重新启动进入系统,再用最新版的瑞星查毒,未发现病毒。
至此我们可以知道,手工删除灰鸽子病毒的四个步骤:
1. 用HijackThis找到系统中的非法进程
2. 重启进入安全模式,设置显示所有的文件夹和文件
3. 找到木马的服务器文件或源文件
4. 删除注册表中的相应项和木马源文件
监测并显示系统中所有正在运行的进程,因为用windows自带的任务管理器是不能够发现大部分的隐藏的进程的,毕竟任务管理器不是防黑工具。HijackThis的使用方法可以在网上搜索的到。
用HijackThis产生了进程的log文件以后,需要对其中的“Unkown owner”(未知所有者)一项特别注意,如果监测到的进程过多,可以用记事本文件“编辑”菜单下的“查找”
选项对结果中的“Unkown owner”进行查找。
我在查杀的过程中发现了这样的一项:
G_server2.0(pigeon server)- Unkown owner-C:\WINDOWS\System32\G_server2.0.exe,注意其中的Unkown owner这一项,就是需要查杀者注意寻找的地方。所有的木马程序都由两个部分组成,那么在感染者这一端就是程序的服务器端,这里显示的就是灰鸽子的服务器端在开机时自动运行的踪迹。这一段文字分三个部分来理解:前面的G_server2.0显示的是注册表中的项目,具体的操作见下文;中间的(pigeon server)指的是进程的属性,后面的C:\WINDOWS\System32\G_server2.0.exe显示的是启动进程的源文件。到这里我们就知道接下来所要做的步骤了:
先重新启动电脑,进入安全模式后在窗口中设置“显示受保护的系统文件”和“显示所有的隐藏文件夹和隐藏文件。”因为大多数木马都是保存在系统或隐藏的文件夹下。众所周知灰鸽子木马一般由三个文件组成“*-hook.dll、*.dll和*-.exe”这里的*所替代的文字都是一样的名称,那么我们可以先在电脑中找到这个*所代表的名称,在C盘的windows文件夹下搜索*-hook.dll,即可找到*所代表的名称,再将这三个文件一并删除,奇怪的是我只是找到了一个mag-hook.dll文件,没有找到另外两个mag.dll和mag.exe文件。不过还好在前面我通过HijackThis找到了灰鸽子的服务器文件的路径,那么现在直接将这个文件找到并删除即可。接下来我们进入注册表里面,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下面查找前面所提到的G_server2.0这一项,将这一项删除即可。如果觉得不保险还可以查找前面搜到的*-hook.dll这一项,这里我在查杀的过程中却发现在注册表里面确实可以查找到mag-hook.dll、mag.dll和mag.exe这三项,但是在计算机中却找不到后两个文件,还望高手指点。
这些步骤完成以后重新启动进入系统,再用最新版的瑞星查毒,未发现病毒。
至此我们可以知道,手工删除灰鸽子病毒的四个步骤:
1. 用HijackThis找到系统中的非法进程
2. 重启进入安全模式,设置显示所有的文件夹和文件
3. 找到木马的服务器文件或源文件
4. 删除注册表中的相应项和木马源文件