三国群英传online加速器三国
扫描类型: 实时防护 扫描
事件: 已发现病毒!
病毒名称: Backdoor。Graybird
文件: C:\Documents and Settings\GN\桌面\sgsuixin\gamehook。 dll。exe
什么是灰鸽子病毒
灰鸽子2005病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。 因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURREN...全部
扫描类型: 实时防护 扫描
事件: 已发现病毒!
病毒名称: Backdoor。Graybird
文件: C:\Documents and Settings\GN\桌面\sgsuixin\gamehook。
dll。exe
什么是灰鸽子病毒
灰鸽子2005病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。
因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。
然而,由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。
其实,灰鸽子2005有一个弱点,可供手工杀毒时利用。这个弱点就是——用HijackThis1。
99。1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:\WINDOWS\spoolvs。exe)。(注:NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。
)
因此,建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作:
1、用HijackThis1。99。1(本帖附件中的一个小工具)扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。
如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。
3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:\WINDOWS\spoolvs。
exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X。exe、X。dll、X_hook。dll以及XKey。dll,其中“X”指病毒文件名的可变部分。
例如,你的系统感染灰鸽子2005后,在HijackThis1。99。1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs。
exe”这样的信息,那么,这个日志提示:这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs。exe、spoolvs。dll、spoolvs_hook。
dll,可能还有一个spoolvsKey。dll。这一组3-4个病毒文件位于D:\WINDOWS\文件夹中。收起