灰鸽子变种很多,查杀方法各异。本文只适用于下述情形:
(1)杀毒软件报告灰鸽子但杀不净;
(2)HijackThis日志中发现异常O23项(如:O23 - Service: svchost (Windows access) - Unknown owner - C:\WINDOWS\windr.exe);且(3)灰鸽子的文件在%windows% 目录下。
这类灰鸽子的手工查杀流程:
1、打开注册表编辑器,展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。删除灰鸽子的服务项。
怎么确认灰鸽子服务项的名字?看HijackThis日志O23的提示。如:O23 - Service: svchost (Windows Access),括弧中的Windows Access就是你要删除的灰鸽子服务项。
如果HijackThis日志O23的提示中没有括弧中的内容,紧接在Service:后面的内容就是灰鸽子的服务名——删!
有人可能会问:这是不是笨了点儿?在HijackThis面板中直接点击这个O23,再点击"修复"不就完了吗?
是的。我也知道有此一法。但这种方法并不能保证你总能修复掉这个异常的O23。最后,还是要用注册表编辑器删除它。
2、重启系统。为什么要重启? 因为这类鸽子没有注册表监控。删除其服务项后,重启系统,鸽子就不能运行了。这时,鸽子的文件可以随便删。
3、显示隐藏文件,删除鸽子的文件。
这类鸽子的文件都在%windows% 目录下。%windows%是什么意思?%windows%是个变量符号,表示"WINDOWS"目录。因为每个人的系统不一定都安装在相同的分区,因此,只能这么表示。如果你的系统安装在C盘,%windows%指的是C:\WINDOWS;如果你的系统安装在D盘,%windows%指D:\WINDOWS,依此类推。
怎么确认鸽子的文件名?还是看HijackThis日志。Unknown owner - 后面的内容就是鸽子文件的所在位置及其文件名。本例是C:\WINDOWS\windr.exe)。 注意:除了可执行文件.exe外(本例是windr.exe),%WINDOWS%下可能还有包含可执行文件名的.dll文件(以本例为例,这些dll的文件名可能有windr.dll、windr_hook.dll、windrKey.dll),这些文件数目不定。只要有,也要删除。
关键词标签:处理,方法,发现,日志,
相关阅读 魔兽世界怀旧服精灵的传说怎么做-魔兽世界怀旧服精灵的传说在哪里梦幻模拟战手游莎拉维尔武器分析英雄推荐处理器天梯图2017_最新cpu处理器天梯图MYSQL高级特性 -- 事务处理MySQL多表操作和备份处理详细介绍php5编程中的异常处理
热门文章
用小工具巧杀计算机病毒
Windows 17年的老漏洞(VDM 0day)须警惕
光驱也疯狂 Autorun病毒冒充文件夹
谨防.URL扩展名病毒
361du图片批量处理器时间:01-09
Abelssoft Photastic(照片自动优化处理工具)时间:01-16
Acoustica Premium Edition(高级音频处理软件)时间:03-12
AddMsc(给图片打马赛克处理软件)时间:12-19
Adobe Photoshop Lightroom(数字图像处理)时间:01-05
Adobe Soundbooth CS5(音频处理软件)时间:07-11
人气排行 卡巴斯基2017激活教程_卡巴斯基2017用授权文件KEY激活的方法(完美解决alexa.exe自动弹出网页病毒卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活码/授权许可文件K更改文件权限--处理另类无法删除病毒comine.exe 病毒清除方法ekrn.exe占用CPU 100%的解决方案当杀毒软件无能为力时,手动杀毒(利用系统自带命令查杀病毒)也许发Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除
查看所有0条评论>>