手动查杀灰鸽子 vip 2006

<BR>&nbsp; &nbsp;
<P>　　在较早前，灰鸽子工作室推出新版本的灰鸽子-------灰鸽子2006</P>
<P>　　灰鸽子2006有更好的隐藏，在杀毒软件都没有可以很好的进行删除的情况下，在清除一般以前的灰鸽子(eg. 灰鸽子2005)，我们可以使用HijackThis，System Repair Engineer等工具，查看有没有灰鸽子的服务，但灰鸽子2006加入了隐藏服务功能，令HJT，SREng都查不到灰鸽子2006的服务.</P>
<P>　　Q: 那如何知道自己是否中了灰鸽子2006?</P>
<P>　　A: 我们可以从以下方法查看....</P>
<P>　　1. 利用SREng log，在SREng log，我们看到G_Server2006Key.DLL插入到很多进程.当然，名称不一定是G_Server2006Key.DLL，还可以是svchootKey.DLL，tkabcKey.dll....etc.</P>
<P>　　名称格式基本都是</P>
<P>　　****.exe</P>
<P>　　****.DLL</P>
<P>　　****Key.DLL</P>
<P>　　****Key.log</P><IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154600152_ddvip_9548.jpg">
<P>　　2. 利用IceSword，我们可以用IceSword查看是否有iexplore.exe这个进程和灰鸽子档案</P>
<P>　　注意:</P>
<P>　　-这个iexplore.exe，用任务管理器或Process Explorer都是看不到</P>
<P>　　-记得先关闭所以IE视窗才用IceSword看</P>
<P>　　但这个方法，只可以确定你的系统有很大机会中了恶意软件，因为PcClient/PcShare以及有一些后门，都会有这个iexplore.exe隐藏进程.</P><IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154600159_ddvip_5117.jpg"><IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154600164_ddvip_3266.jpg">
<P>　　===========================</P>
<P>　　那知道中了灰鸽子2006，What can I do?How can I remove it?</P>
<P>　　这个是手工查杀，可供参考</P>
<P>　　1. 下载F-Secure BlackLight，并保存到 桌面</P>
<P>　　下载地址为<A href="http://down.ddvip.com/result.php?name=F-Secure BlackLight"><U><FONT color=#0000ff>http://down.ddvip.com/result.php?name=F-Secure BlackLight</FONT></U></A></P>
<P>　　2. 下载完成后，按 Scan 开始扫瞄</P>
<P>　　3. 扫瞄完成后，F-Secure BlackLight发现灰鸽子2006的隐藏进程和隐藏档案，把G_Server2006.DLL，G_Server2006.exe，G_Server2006Key.DLL都 Rename</P>
<P><IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154600167_ddvip_8953.jpg"><IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154600169_ddvip_715.jpg"> </P>
<P>　　以下是FS BlackLight的log (以 fsbl 作开头的，扫瞄完成后可以在桌面找到)</P>
<P>　　04/27/06 11:46:27 [Info]: Hidden process: C:\Program Files\Internet Explorer\IEXPLORE.EXE</P>
<P>　　04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006.DLL</P>
<P>　　04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006.exe</P>
<P>　　04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006Key.DLL</P>
<P>　　4. F-Secure BlackLight会提示你要重新启动，按 Restart Now 重新启动</P>
<P>　　5. 重新启动后，你会发现灰鸽子2006隐藏档案都被FS BlackLight重新命名，所以直接删除就可以了****</P>
<P><IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154600172_ddvip_2635.jpg"> </P>
<P>　　c:\WINDOWS\G_Server2006Key.DLL.ren</P>
<P>　　c:\WINDOWS\G_Server2006.exe.ren</P>
<P>　　c:\WINDOWS\G_Server2006.DLL.ren</P>
<P>　　c:\WINDOWS\G_Server2006Key.log (这个档案记录了你用keyboard输入过什么的)</P>
<P>　　6. 最后，你可以用HijackThis扫瞄，找出灰鸽子2006服务名称，把服务从</P>
<P>　　HijackThis下载：</P>
<P>　　<A href="http://down.ddvip.com/view/11518472423792.html"><U><FONT color=#0000ff>http://down.ddvip.com/view/11518472423792.html</FONT></U></A></P>
<P>　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services删除</P>
<P><IMG onclick=get_larger(this) src="http://img.ddvip.com/2006_08/1154600174_ddvip_624.jpg"> </P>
<P>　　a) 图中的例子，灰鸽子服务名称是office，那就在开始---&gt;运行---&gt;regedit</P>
<P>　　B) 定位到</P>
<P>　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services</P>
<P>　　c) 找出并删除office</P>
<P>　　PS: HijackThis内的O23项，eg. TKABC (tk) C:\tkabc.exe (file missing)，TKABC是显示名称，()内的tk才是服务名称</P>
<P>　　****: 如果找不到BlackLight log中所提及的档案，可以试试先作出以下设定</P>
<P>　　a) 在 我的电脑 ，点击 工具---&gt;文件夹选项</P>
<P>　　B) 点 查看 选项卡，然后去掉 隐藏受保护的操作系统文件 前的勾，点选 显示所有文件和文件夹 ，最后 确定</P>
<P>　　总结一下，基本的步骤就是：</P>
<P>　　1、用F-Secure BlackLight查出有灰鸽子2006病毒文件</P>
<P>　　2、将灰鸽子2006病毒文件改名</P>
<P>　　3、重新启动，然后把改名后的灰鸽子2006病毒文件删除</P>
<P>　　4、再用HijackThis扫出灰鸽子2006的服务</P>
<P>　　5、再进入注册表把服务删除</P>
<P>　　6、重新启动，病毒删除成功</P>
<P>　　致此，手工删除灰鸽子2006就完成啦。</P> <BR>