最近几天,因系统感染“灰鸽子2005”而求助的帖子又多了起来。这个病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES分支中删除。然而,由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。
其实,灰鸽子2005有一个弱点,可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:WINDOWSspoolvs.exe)。(注:NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。)
因此,建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作:
1、用HijackThis1.99.1(本帖附件中的一个小工具)扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。
3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:WINDOWSspoolvs.exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子2005后,在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:WINDOWSspoolvs.exe”这样的信息,那么,这个日志提示:这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:WINDOWS文件夹中。
附:HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名(供手工杀毒参考)
O23 - Service: WINL0G0N - Unknown - C:WINDOWSWINL0G0N.EXE
O23 - Service: Windows_Helper - Unknown - C:WINDOWS3721.exe
O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe
O23 - Service: Remotee - Unknown - C:WINNTexplercr.exe
O23 - Service: Gerver - Unknown - C:WINDOWSsmcsc.exe
O23 - Service: Intelnet - Unknown - C:WINDOWSsystem.exe
O23 - Service: ssvn - Unknown - C:WINNTServers.exe
O23 - Service: Distributed Coordi - Unknown - C:WINNTcmmon32.com
O23 - Service: Contact Information - Unknown - C:WINDOWSsvchost.exe
O23 - Service: DNS Pigeon Server - Unknown - C:WINDOWSRver.exe
O23 - Service: system Management Instrumenta - Unknown - C:WINDOWScomines.exe
O23 - Service: Plug and Play . - Unknown - C:WINDOWScrsss.exe
023- Service: Pigeon_Server-Unknown-C:WINDOWSServer.exe
O23 - Service: Windows Update Servers - Unknown - C:WINDOWSwinupdate.exe
O23 - Service: Windows Management Player - Unknown - C:WINNTsystem.exe
O23 - Service: Application Performance Explor - Unknown - C:WINDOWSsvchost.exe
O23 - Service: Windows Management Drivers - Unknown - C:WINNTwin32help.exe
O23 - Service: WindowsPowerServer - Unknown - C:WINNTServer.exe
O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:WINDOWSspoolvs.exe
- 推荐阅讯
- 保护系统“核心” 锁住“危险”设置
- 流氓软件与病毒一步之遥
- 智能引发病毒侵袭 防范手机病毒有招
- 绿色免安装的IE插件管理工具
- 青娱乐质疑十大流氓软件排行榜
- 恶意软件清理助手简介
- 传奇终结者变种JKE(Mir0.dat)病毒的简要分
- 知名IT网站评出全球十大计算机病毒
- 手机病毒被夸大?安全软件厂商对掐
- 如何对付青娱乐这个病毒
- 阅读排行
- 1.关于sxs.exe病毒
- 2.网友举报:屁屁宽频软件自带木马病毒
- 3.services.exe病毒清除详解
- 4.彻底解决services.exe进程病毒
- 5.EXERT.exe、LSASS.exe病毒木马查杀
- 6.如何清除每次开机时自动弹出的网页
- 7.四款最流行的反恶意软件对比测试(上)
- 8.查找与清除插入式特络伊木马
- 9.恢复威金病毒感染的EXE文件小方法
- 10.知名IT网站评出全球十大计算机病毒
- 专题教程
- Windows Server-Windows Server文档-Windows Server新闻-Windows Ser PostgreSQL-PostgreSQL文档-PostgreSQL新闻-PostgreSQL专家
- WebLogic-WebLogic文档-WebLogic新闻-WebLogic专家 FreeBSD-FreeBSD文档-FreeBSD新闻-FreeBSD专家
- Linux-内核 GUI KDE Gnome DNS FTP 安全 安装-Linux专区 Windows-AD IIS ServerCore 虚拟化 安全 HPC-Windows专区
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册