关于灰鸽子2006查杀的一点说明
今天接了几个论坛网友的悄悄话,反映了灰鸽子2006的问题,原来baohe版主总结的手工查杀方法所对应的是灰鸽子2005,而新版的查杀稍微要绕点弯。
灰鸽子2006的一个显著特点是自身的隐藏做得相当不错,因此有不少版本的灰鸽子2006已经在HijackThis、SREng的日志当中看不到服务项了,那么原来的那个根据明显O23服务项来找灰鸽子主文件的方法就没办法直接使用了,那么怎么办呢?
其实灰鸽子2006的命名规则仍然同2005类似,主要的仍然是那几个隐藏文件X.exe、X.dll、XKey.dll、X_hook.dll、XKey.log(这里的X为不定名称),那么建议处理流程如下:
1.下载并使用IceSword(使用说明:
http://forum.ikaka.com/topic.asp?board=28&artid=7259392)
2.
先关闭IE浏览器,查看IceSword的进程列表中有无隐藏进程,发现红色隐藏进程后,右键单击该进程,选择模块信息,这个时候你就能看到隐藏进程下的灰鸽子文件,记下路径及文件名。
3.重启到安全模式下,显示所有隐藏文件和受保护的系统文件,删除那几个灰鸽子的文件。
4.重启到正常模式,这个时候用HijackThis就能看到已经丢失文件的灰鸽子的O23服务项,把服务从HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services删除。这样,灰鸽子2006就被赶出了你的机器。
近期看到的灰鸽子都加入了Rootkit.Vanti,不知道将来会不会连IceSword也发现不了它。
这个帖子是根据目前我所看到的灰鸽子2006所小结的查杀方法,如有错误,请说明,欢迎大家讨论。
