灰鸽子2 处理小记
也许灰鸽子2的变种比较多,在此我谨以我的经历来说明一下如何查杀灰鸽子2
由于我的PC刚中灰鸽子就被我发现了,因此,要我具体说出中了灰鸽子2的PC会有什么特征,我一下子是说不出来的,靠大家来说明现象了。
一) 如何发现PC中了灰鸽子2
1. 首先,打开[管理工具]->[服务]。在这里我们可以找到[Gray_Pigeon_Server2.0]这个服务,描述是:灰鸽子服务端程序。远程监控管理。
2. 然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件(推荐)和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件:(如果有的话)
C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0_hook.dll
C:\WINDOWS\G_Server2.0key.dll
二) 如果你发现PC上有以上部分的证据,那么基本上可以肯定那台PC已经中了灰鸽子了。下面我来说说我的处理方法
1. 重新启动PC,并进入安全模式(进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。)
2. 先删除以下几个文件:
C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0_hook.dll
C:\WINDOWS\G_Server2.0key.dll
(凡是看见右G_Server开头的文件,不管后缀名,皆删!)
至于这几个不一定可以删除
C:\WINDOWS\svchost.exe
C:\WINDOWS\svchost.DLL
C:\WINDOWS\svchost_Hook.DLL
如不能删除,这则打开命令窗口(在开始->运行->输入CMD)
第一步:输入命令attrib svchost*
C:\windows>attrib svchost*
SHR C:\WINDOWS\svchost.exe
SHR C:\WINDOWS\svchost.DLL
A C:\WINDOWS\svchost_Hook.DLL
第二步:把隐藏属性和只读属性消去
C:\windows> attrib –s –h –r svchost.exe
C:\windows> attrib –s –h –r svchost.dll
第三步:删除这几个文件
顺便说一下的是在C:\windows\这个目录下面的Svchost.exe文件是个冒牌货来的,仅有933,611 字节,而真正的Svchost.exe文件在C:\windows\system32\目录下的,大小为14,336 字节。
3. 看看C盘里面是否还有一个叫!Submit的文件夹,我的PC里面是有的。而且里面还有一个文件:svchost.DLL ,865,280 字节的。这个也是病毒文件来的。删
4. 删除了病毒文件之后,你会发现,在[服务]项里面的灰鸽子服务已经被禁止掉了。
下面我们就来对注册表进行恢复
三) 恢复注册表
1. 打开注册表编辑器,查找[GrayPigeonServe]项或[GrayPigeonServe2.0]项。查到后,正项删除;
2. 查找[G_Server],将查到的各子键删除;
3. 灰鸽子也是属于[浏览器劫持类]的病毒,它会修改Windows Managements的设置。下面我们来恢复这方面的设置。
4. 查找[C:\windows\svchost.exe],你会在发现在[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Management]和[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Management]上面发现有一个,键值是:[C:\windows\svchost.exe]。该子键的描述[Description=提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。]。把该子键项删除。正确的是[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Winmgmt]和[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt]
5. 重新启动电脑,我的电脑显示为正常了。起码瑞星的实时监控和文件监控没报警,而且在安全模式下也没查出任何病毒了。
PS:
回来查看了一下,还有一个WinIO的项,我不知道这是啥来的,谁知道告我一下,我删了这项貌似对系统没影响
