【转贴】看看微点是怎么杀鸽子的
http://bbs.micropoint.com.cn/showthread.php?p=1080#post1080
看看这是什么病毒?
昨天一朋友说他公司机器上网速度变慢了,没有下载东西网络指示器老亮着,用诺顿查毒没发什么病毒,让我帮忙看看
今天跑过去看了一下,发现机器的确有些异常,我把能关的程序都退出后,打开任务管理器的进程列表,没发现可疑的进程,难道进程隐藏了?
之后,我打开管理工具中的服务,第一个服务就引起我的注意,名称显示是空白!没有名称?!什么服务不取名称啊?双击这个服务看它的属性,可执行文件的路径是"C:\WINNT\G_Server2.0.exe",见图:
上传的缩略图
呵呵,看名字很象鸽子,而且是一只新鲜的鸽子:)进到winnt目录下,打开显示隐藏文件的选项,找到“G_Server2.0.exe”,点删除,晕晕,不让删除!见图:
不让删除那肯定是有进程在保护,再打任务管理器,仔细查看才发现,有一个IExplorer.exe进程在跑,可现在没打开IE呀,手工结束这个进程,倒~~也不让结束,见图:
高手看到这儿,可能会想用手工禁用它的服务或在注册表里删除它的服务,再进到安全模式进行删除,没错,可我前几天在自己机器上装了微点,对微点防毒理念很感兴趣,正好装一下微点试试,呵呵
安装一路回车,重启后,微点弹出msn(绿色版)的网络访问框,点允许后就没再弹框了,咦?微点没报?我打开任务管理器,这时IE进程没有启来,再去winnt目录下,“G_Server2.0.exe”文件没了,奇怪,这个程序会自我删除?
后来我在微点的木马日志中找到了原因,原来这个东东已经被微点干掉了,删除到隔离区,见图:(哈哈,做好事咋不留名呢?活雷锋啊~!)
虽然这个东东可以手工删除,但微点能够自动删除,这点不错,省得普通用户要到处求助了,不过有一点点遗憾,就是G_Server2.0.exe遗留下的注册表服务项没有清除干净,呵呵:)见图:
