手工清除灰鴿子有什么方法
手工清除灰鴿子有什么方法
當你的電腦中了灰鴿子電腦病毒時,你會怎么辦,沒事不要緊的!下面由學習啦小編給你做出詳細的手工清除灰鴿子方法介紹!希望對你有幫助!
手工清除灰鴿子方法介紹:
當我運行那個文件時,KV殺毒軟件就彈出了告警窗口
木馬被隔離
為什么到這時才發現呢?因為這種木馬采用了“組裝合成法”,就是把一個合法的程序和一個木馬綁定,當運行合法程序時,木馬就自動加載,同時,由于綁定后木馬的代碼發生了變化,根據特征碼掃描的殺毒軟件是很難查出來的。這也就是我中招的原因。
一波三折
中了木馬,就要想辦法清除它。這個木馬已被KV“禁用”,無法與遠程的木馬客戶端進行通信。單從這個角度講,如果不去管它,也無大礙。可每次啟動電腦KV就報告,讓人整天提心吊膽,并且我的Maxthon瀏覽器每次關閉網頁窗口,都要彈出“error”提示,這種情況以前從未發生過,顯然是這個木馬搞的鬼!
怎么辦呢?因為是實驗室的電腦,光驅和軟驅被拆掉了,不支持U盤啟動,也沒有做過Ghost備份,所以既進入不了DOS,也無法用Ghost備份來恢復。我決定先試試在Win2000中能否用KV將木馬清除掉,可當KV查到Winserverhook.dll時,電腦就自動關機重啟了,而且啟動后要藍屏查硬盤!隨后通過多次試驗發現,用KV2004去查,不論是殺毒狀態、查毒狀態還是詢問狀態,只要一查到winServerHook.Dll這個文件,電腦就立刻重啟。而且也無法復制、剪切、刪除和修改winServerHook.Dll這個文件。這使我愈發相信,winServerHook.Dll是個重要的、開機就要調入內存的系統動態鏈接庫(后來的事實證明,這是這個木馬最容易讓人上當之處!)。
此后,我檢查了注冊表和幾個重要的系統文件。傳統的木馬會在注冊表里或Win.ini、System.ini文件里留下某些痕跡,例如在注冊表的HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion \Run中加上可疑的鍵值。檢查結果令人失望,在整個注冊表里都搜索不到任何有關“huigezi”這個鍵值,“winserver”這個字符串在注冊表中可以找到,但我認為它是系統DLL,也不敢對它下手。
柳暗花明
到此為止我認識到這種木馬不簡單,很可能是采用了DLL動態鏈接庫技術和反彈端口技術。還好被KV及時發現并禁用。它的反彈端口是Game over了,可畢竟它已成功地安裝,它的DLL動態鏈接庫技術就使我難以把它清除掉。
DLL動態鏈接庫技術
DLL動態鏈接庫技術是用木馬DLL修改或替換常用的系統DLL文件。這樣做能在進程查看器中隱形,而且能隨系統DLL一起開機后自動啟動調入內存運行,難以被發現。即便被發現,也對企圖查殺它的行為起到嚇阻作用,因為查殺它就可能傷害到系統文件,就要冒整個系統崩潰的危險!
反彈端口型木馬
反彈端口型木馬是針對防火墻對于連入的鏈接會進行非常嚴格的過濾,但是對于連出的鏈接卻疏于防范這一特點進行滲透的。與一般木馬相反,它是用安裝在被控制電腦內部的服務端去主動連接木馬的客戶端,而且用的是合法端口,把數據包含在像HTTP或FTP的報文中。采用這種技術的木馬,一旦被它成功地安裝運行,那中招電腦的防火墻簡直就是形同虛設了。
我嘗試進入Win2000的安全模式,在安全模式中系統只加載一些最基本的系統程序,說不定不會加載winServerHook.Dll這個文件呢。重啟按“F8”鍵進入安全模式,一試果然如此!可以任意對winServerHook.Dll這個文件進行刪除、剪切等操作,說明系統并沒有加載它進內存!我立刻把它復制到D盤做個備份,萬一在清除它所中的木馬時出現什么問題就D盤的備份進行恢復。然后運行KV來清除木馬,這次順利地清除了,簡直是一帆風順。我重啟電腦進入正常模式了,但是KV2004又彈出了那個陰魂不散的窗口!
為什么重啟電腦后它又死而復生呢?我決定換種方式,從別的Win2000系統中Copy一個winServerHook.Dll。但我卻驚訝地發現,別人的Win2000系統中竟然沒有這個文件!
看了“手工清除灰鴿子有什么方法”文章的還看了:
3.電腦病毒清除方法