Board logo

標題: 如何清除灰鴿子 [打印本頁]

作者: SAM6979    時間: 2010-2-15 02:46     標題: 如何清除灰鴿子

 情況描述:開機後病毒防火牆提示“記憶體中發現木馬病毒,已清除”。既然已清除,應該沒問題了,誰知下一次啟動電腦,病毒防火牆再次提示“記憶體中發現木馬病毒,已清除”。我啟動殺毒軟體,把硬碟整個掃描一遍後,竟然提示沒有發現病毒。電腦知識網推薦文章
  我的殺毒軟體是通過線上即時升級的,目前是最新版本,看來殺毒軟體對付不了它。通過查看病毒防火牆日誌,顯示為“Iexplore.exe>>c:program filesInternet ExploerIexplore.exe->backdoor.Gpigeon.snl”。這不就是大名鼎鼎的灰鴿子木馬病毒嗎?灰鴿子以其操作的便捷和功能的強大,不易被查除且變種諸多等原因,而在網路上廣為流傳。於是請來了灰鴿子後門專殺工具,竟然殺不掉,又請來木馬清道夫,也不行。然後使用QQ木馬專殺和反間諜專家均不能解決問題。如何清除灰鴿子呢?
搜索特定檔無頭緒
  灰鴿子無論自定義的伺服器端檔案名是什麼,一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的檔。由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。又由於灰鴿子的檔本身具有隱藏屬性,因此要設置Windows顯示所有檔,然後打開Windows的“搜索”,檔案名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄。
  經過搜索,卻沒有發現以“_hook.dll”結尾的檔。於是把搜索範圍擴大到整個C盤,只搜索到一個mag_hook.dll的檔,路徑為c:windowssystem32,而這個檔是系統所必需的。況且如果mag_hook.dll是病毒檔的話,還應該有相應的mag.exe、mag.dll檔和用於記錄鍵盤操作的magKey.dll檔,但這些都沒有。
  既然找不到病毒檔,也就沒法在註冊表中找到相應的服務項。在註冊表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRun項中,也沒有多餘的啟動項。這下我傻眼了,難道遇到高人了?
發現疑點順藤摸瓜




歡迎光臨 258!Game!!王朝 (http://258xd.com/discuz/) Powered by Discuz! 7.0.0