如何杀灰鸽子病毒后门

2007-03-21 15:45:41 网络 【大 中 小】 发表评论

　　灰鸽子2006病毒的特点是：1、运行后，病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务，实现启动加载。因此，染毒后很难在WINDOWS下将病毒杀净。
　　
　　如果机器运行缓慢可能就是中了灰鸽子后门病毒的症状
　　
　　首先可以利用灰鸽子后门专杀工具 对后门程序进行查杀
　　
　　手工查杀灰鸽子2006的关键一步是找到病毒注册的系统服务名，将其从注册表HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES分支中删除。然而，由于黑客配置灰鸽子病毒2006服务端时命名的系统服务名五花八门，没有一定规律可循，因而使不少人中招后难以下手清除病毒。
　　
　　其实，灰鸽子2006有一个弱点，可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志，O23项可以显示灰鸽子 后门 注册的系统服务名(例：WindowsPowerServer)和可执行文件名(例： D:WINDOWSspoolvs.exe)。(注：NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。)
　　
　　因此，建议因感染病毒灰鸽子2006后门特征的发帖求助的网友按以下步骤操作：
　　
　　1、用HijackThis1.99.1(本帖附件中的一个小工具)扫系统日志，在O23项中寻找灰鸽子2006注册的系统服务名(例：WindowsPowerServer)。如果自己看不懂HijackThis日志，可以将日志贴在帖子中，请别人帮助辨认。
　　
　　2、确认灰鸽子2006注册的系统服务名后，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES分支，删除左栏中的病毒服务名(例： WindowsPowerServer)。
　　
　　3、重启系统，在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。然后在%windows%下寻找病毒文件名(例： D:WINDOWSspoolvs.exe)，找到后删除之。需要注意的是：灰鸽子2006生成的病毒文件为一组，3-4个。病毒文件命名有一定规律，即：X.exe、X.dll、X_hook.dll以及XKey.dll，其中“X”指病毒文件名的可变部分。例如，你的系统感染灰鸽子2006后，在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:WINDOWSspoolvs.exe”这样的信息，那么，这个日志提示：这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll，可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:WINDOWS文件夹中。
　　
　　附：HijackThis日志中见到的灰鸽子2006注册的系统服务名与病毒文件名(供手工杀毒参考)