灰鸽子手工快速检测方法

　　首先要解决的任务是如何检测灰鸽子，

　　网络上介绍的方法众多，俺用了半年多的时间一直帮网友检测灰鸽子的经历来谈谈，怎么快速检测灰鸽子。

　　1、请下载汉化版hijackthis备用,下载汉化版killbox备用,删除文件利器

　　HijackThis v1.99.1 首页绑架克星

　　它能够将绑架您浏览器的程序揪出来!并且移除之!或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，进行分析。本来它只能看看浏览器绑架的问题，在众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。

　　2、直接运行hijackthis.exe

　　a、选 以上都不是，只是进入启动程序(进入主界面)

　　b、然后点左下角的扫描

　　c、再扫描出来的界面中直接查找023项目，就是服务项，

　　如果发现有这样的023项目，那么恭喜你了，中了灰鸽子

　　如:

　　O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe

　　O23 - NT 服务: Generic_Save_Server (Fast Double) - Unknown owner - C:\WINDOWS\Generic Hoster.exe

　　O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\1.exe

　　O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

　　O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

　　等等，共同特点是在023项，Gray_Pigeon_Server+Unknown owner +C:\WINDOWS(就是直接安装在系统盘/win下面)

　　下面俺来谈谈借助绿色工具,汉化版hijackthis和汉化版killbox来谈谈手工清楚灰鸽子的经历,下面手工查杀过程.

　　实战一:

　　O23 - NT 服务: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:\WINDOWS\RpcSs.exe

　　根据楼主的描叙(帖主的瑞星报告灰鸽子病毒感染文件C:\WINDOWS\RpcSs.exe,这是俺第一次实战查杀灰鸽子的经历,所有映像特别深)),这是灰鸽子的项,删除下面的文件后,用hiujackthis修复

　　下载汉化版killbox(删除文件利器)

　　填入完整路径删除下面文件，不放心到安全模式下删除，(xp建议关闭系统还原，其他包括xp清理所有临时文件)

　　如果有的话让killbox帮楼主强行删除。

　　C:\WINDOWS\RpcSs.exe

　　C:\WINDOWS\RpcSs.dll

　　C:\WINDOWS\RpcSshook.dll

　　C:\WINDOWS\RpcSskey.dll

　　开始→控制面板→性能和维护→管理工具→服务→查找 RpcSo →右击→属性→启动类型→禁止→应用→停止→确定。

　　实战二:

　　一个网友的hijackthis的扫描结果:

　　O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe

　　O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:\WINDOWS\svchost.exe

　　回复:

　　让killbox帮楼主强行删除。

　　C:\WINDOWS\G_Server2.0.exe

　　C:\WINDOWS\G_Server2.0.dll

　　C:\WINDOWS\G_Server2.0hook.dll

　　C:\WINDOWS\G_Server2.0key.dll

　　C:\WINDOWS\svchost.exe

　　C:\WINDOWS\svchost.dll

　　C:\WINDOWS\svchosthook.dll

　　C:\WINDOWS\svchostkey.dll

　　开始→控制面板→性能和维护→管理工具→服务→查找 Gray_Pigeon_Server2.0 Gray_Pigeon_Svchost→右击→属性→启动类型→禁止→应用→停止→确定。

　　还是那网友的扫描报告,一个手工杀死了一个灰鸽子:

　　杀死一个灰鸽子后的hijackthis的loge,服务未关闭,显示为(file missing)

　　O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe (file missing)

　　O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:\WINDOWS\svchost.exe

　　实战三:

　　O23 - NT 服务: system - Unknown owner - C:\WINDOWS\system.exe

　　灰鸽子的服务项，直接修复，或控制面板→性能和维护→管理工具→服务→查找 system →右击→属性→启动类型→禁止→应用→停止→确定

　　下载汉化版killbox(删除文件利器)，进入安全模式，关闭系统还原/情况所有临时文件，

　　用killbox，填入完整路径删除下面文件，如果有的话，让killbox帮楼主强行删除。

　　C:\WINDOWS\system.exe

　　C:\WINDOWS\system.dll

　　C:\WINDOWS\systemHook.dll

　　C:\WINDOWS\systemkey.dll

　　应该变成:

　　O23 - NT 服务: system - Unknown owner - C:\WINDOWS\system.exe(file missing)

[1] [2] 下一页