“灰鸽子”病毒手工清除方法【推荐】

我已经成功的清除

http://tech.163.com/05/0824/15/1RUACL1900091589.html

手工清除方法
这个木马具说是才编的,对方是一个专门靠开发木马的狱之门伙,(呵呵,听起还蛮厉害的)我断网后用了现目今所有查木马的软件,包括木马终结者,The Cleaner 3.1,诺盾,金山等都查不出来(但是后来我发现如果用正版KV3000在纯DOS下应该可以查杀,还没试过),此木马运行后除了可以执行Windows所有功来外,甚至连你的一举一动包括你用QQ和别人聊天的内容都可以监听,是有点可怕哈~~!至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run键下添加一个键值来让木马自动运行。但该木马却没有这样,在RUN键值下没有任何变化,由于木马是基于远程控制的程序,因此中木马的机器会开有特定的端口。这点是破解的关键,一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口,这是本机与网上主机通讯时打开的,IE一般会打开连续的端口:1025,1026,1027……,QQ会打开4000、4001……等端口。我在DOS命令行下用netstat -na发现了一个可疑端口被占用8225,此木马为内嵌式木马,运行后会在SYSTEM32.DLL内生成一个和系统文件C:\WINDOWS\system32\vschost.exe很像的文件SVCHOST.EXE,每次开机后这个文件被自动加载,如果和客户端连上后SVCHOST.EXE每一个进程的线程数迅速增加到100个以上。此时系统运行速度非常慢,CPU占用率急速上升,甚至瘫痪。通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll,(我QQ就是这样被盗的),实际上这个木马多是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作,所以说虽然你可以看到VSCHOST.EXE的路C:\WINDOWS\system32\VSCHOST.EXE,但你在这个木录下是跟本查找不到,该木马自带文件捆绑工具,真是很恐怖。黑客可以在网上随便找一个小动画或者小程序,把它作为“寄生”的目标。
下面说说手工清除方法:首先要禁止他开机自动运行,点开始--运行,输入msconfig,点确定。在系统配置实用程序里面选启动项,然后把SVCHOST前面的勾去了,点确定后退出,不要忙着重新启动,当然这一步用WINDOWS优化大师等工具都可以做到。然后再在运行里面输regedit 进入注册表,点编辑---查找--在里面输SVCHOST,把查找到的SVCHOST(注意是大写的),SVchost.ini,mapis32a.dll,%systemroot%,F4.Jpg全删了,如果没找到就一个个的找,然后关机,重启,如果你还不方心可以检查你的8225端口是否开着,如果装的有天网直接就可以看到,没有在DOS下看也可以了,还说一点,木马运行的时候在Windows的任务窗口中是看不到的。不要相信Windows的任务窗口——点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息,在“附件”中)。看其中的软件环境→正在运行的任务。这才是Windows现在全部运行的任务,看看还有没有SVCHOST.EXE。这样就大功告成了!
最后编辑2005-09-24 13:53:11