首页 > IT互联网 > 手动查杀灰鸽子 vip 2006

手动查杀灰鸽子 vip 2006

   

  在较早前,灰鸽子工作室推出新版本的灰鸽子-------灰鸽子2006

  灰鸽子2006有更好的隐藏,在杀毒软件都没有可以很好的进行删除的情况下,在清除一般以前的灰鸽子(eg. 灰鸽子2005),我们可以使用HijackThis,System Repair Engineer等工具,查看有没有灰鸽子的服务,但灰鸽子2006加入了隐藏服务功能,令HJT,SREng都查不到灰鸽子2006的服务.

  Q: 那如何知道自己是否中了灰鸽子2006?

  A: 我们可以从以下方法查看....

  1. 利用SREng log,在SREng log,我们看到G_Server2006Key.DLL插入到很多进程.当然,名称不一定是G_Server2006Key.DLL,还可以是svchootKey.DLL,tkabcKey.dll....etc.

  名称格式基本都是

  ****.exe

  ****.DLL

  ****Key.DLL

  ****Key.log

  2. 利用IceSword,我们可以用IceSword查看是否有iexplore.exe这个进程和灰鸽子档案

  注意:

  -这个iexplore.exe,用任务管理器或Process Explorer都是看不到

  -记得先关闭所以IE视窗才用IceSword看

  但这个方法,只可以确定你的系统有很大机会中了恶意软件,因为PcClient/PcShare以及有一些后门,都会有这个iexplore.exe隐藏进程.

  ===========================

  那知道中了灰鸽子2006,What can I do?How can I remove it?

  这个是手工查杀,可供参考

  1. 下载F-Secure BlackLight,并保存到 桌面

  下载地址为http://down.ddvip.com/result.php?name=F-Secure BlackLight

  2. 下载完成后,按 Scan 开始扫瞄

  3. 扫瞄完成后,F-Secure BlackLight发现灰鸽子2006的隐藏进程和隐藏档案,把G_Server2006.DLL,G_Server2006.exe,G_Server2006Key.DLL都 Rename

  以下是FS BlackLight的log (以 fsbl 作开头的,扫瞄完成后可以在桌面找到)

  04/27/06 11:46:27 [Info]: Hidden process: C:\Program Files\Internet Explorer\IEXPLORE.EXE

  04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006.DLL

  04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006.exe

  04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006Key.DLL

  4. F-Secure BlackLight会提示你要重新启动,按 Restart Now 重新启动

  5. 重新启动后,你会发现灰鸽子2006隐藏档案都被FS BlackLight重新命名,所以直接删除就可以了****

  c:\WINDOWS\G_Server2006Key.DLL.ren

  c:\WINDOWS\G_Server2006.exe.ren

  c:\WINDOWS\G_Server2006.DLL.ren

  c:\WINDOWS\G_Server2006Key.log (这个档案记录了你用keyboard输入过什么的)

  6. 最后,你可以用HijackThis扫瞄,找出灰鸽子2006服务名称,把服务从

  HijackThis下载:

  http://down.ddvip.com/view/11518472423792.html

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services删除

  a) 图中的例子,灰鸽子服务名称是office,那就在开始--->运行--->regedit

  B) 定位到

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

  c) 找出并删除office

  PS: HijackThis内的O23项,eg. TKABC (tk) C:\tkabc.exe (file missing),TKABC是显示名称,()内的tk才是服务名称

  ****: 如果找不到BlackLight log中所提及的档案,可以试试先作出以下设定

  a) 在 我的电脑 ,点击 工具--->文件夹选项

  B) 点 查看 选项卡,然后去掉 隐藏受保护的操作系统文件 前的勾,点选 显示所有文件和文件夹 ,最后 确定

  总结一下,基本的步骤就是:

  1、用F-Secure BlackLight查出有灰鸽子2006病毒文件

  2、将灰鸽子2006病毒文件改名

  3、重新启动,然后把改名后的灰鸽子2006病毒文件删除

  4、再用HijackThis扫出灰鸽子2006的服务

  5、再进入注册表把服务删除

  6、重新启动,病毒删除成功

  致此,手工删除灰鸽子2006就完成啦。


上一篇:手动干掉pagefile.pif病毒解决方案   下一篇:手工清除灰鸽子 Vip 2005

推荐
 
热点
  • 碧桂园创始人为准首富女儿打工 杨惠妍代家持股
  • 理财专家:三种人适合做基金定投
  • 盗号木马WINLOGON.EXE病毒清除方法
  • 不要脸的Google说:AV女优任你看(图)
  • 病毒木马ravmon.exe详细清除方法
  • notepad.exe木马病毒的清除方法(附专杀工具)
  • 旧金山Web2.0大展评出5个最佳网站
  • lsass.exe清除方法+专杀工具
  • 手工清除灰鸽子 Vip 2005
  • 强烈推荐!免费下载高清晰高速网络电视软件
  • 16a.us病毒木马清除办法及专杀工具下载
  • Taskmgr.exe病毒木马解决办法及专杀
  • 空格wowexec.exe 可疑病毒解决办法
  • 新病毒 “5Y5.us 病毒”处理办法
  • 高手教您利用系统自带命令查杀病毒
  • MIRC蠕虫手动清除的方法
  • QQ杀手6.75和6.80版的手动杀除方法
  • QQ新尾巴病毒手动清除记
  • QQ杀手病毒的手工清除方法
  • IRC后门病毒技术分析及手动清除方法