手工清除灰鸽子新变种（第4版）

1.文件名：svchosts.exe
病毒名：Backdoor.Gpigeon.wzo

我们将在较新的18.19.21版本中处理解决，请您届时将您的瑞星软件升级到18.19.21版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。


使用2006-03-28 11:17:36的病毒库的Kaspersky将svchosts.exe报为Trojan-Proxy.Win32.Agent.iu。
}

估计FindFirst等API函数被灰鸽子hook掉了。

用IceSword把D:\WINDOWS\svchostsKey.DLL模块退出，在WinRAR中还是看不到。

但在IceSword中无法将这三个可疑文件打包备份！IceSword好像不支持文件拖放，如果能调用系统Shell右键菜单菜单就好了。

用IceSword的右键菜单中的Copy to把三个可疑文件复制到f:\virus，但由于没有改变目标文件名，所以虽然文件已经复制到了f:\virus，但当时还是看不到。

到http://endurer.ys168.com下载了“下次启动时自动删除文件”程序，手工把D:\WINDOWS\svchosts.DLL、D:\WINDOWS\svchosts.exe和D:\WINDOWS\svchostsKey.DLL加入待删文件列表，然后“修改所有文件名”，D:\WINDOWS\svchosts.DLL和D:\WINDOWS\svchostsKey.DLL成功地加上了.bak扩展名，而D:\WINDOWS\svchosts.exe则改名失败。

{* endurer注：“下次启动时自动删除文件”程序0.0005版已增加右键调用系统关联菜单功能，可用于进行文件打包！*}

这样在WinRAR中可以看到D:\WINDOWS\svchosts.DLL.bak和D:\WINDOWS\svchostsKey.DLL.bak两个文件，都打包备份了，然后“下次开机时删除”。

这时已经快到凌晨12点了，先让这位网友卸掉江民，安装卡巴斯基扫描。

今天中午继续与网友处理灰鸽子。

用IceSword在D:\WINDOWS中只发现svchostsKey.log，没有发现svchosts.DLL.bak、svchosts.exe和svchostsKey.DLL.bak三个文件，估计是被“下次启动时自动删除文件”程序干掉了。

打开f:\virus，昨晚用IceSword拷进来的svchosts.DLL、svchosts.exe和svchostsKey.DLL三个文件也可以看到了。

再用HijackThis扫描简明log，终于看到了这个灰鸽子的系统服务启动项：

 O23 - Service: COM+ System Applications - Unknown owner - D:\WINDOWS\svchosts.exe (file missing)

注意：这个服务名比Windows系统内置的服务

 的服务名后尾多了一个英文字母s。

打开注册表编辑器，打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service，找到并删除COM+ System Applications子键。

总结：

1、合理应用杀毒软件商提供的在线免费查毒功能，能事半功倍。在本例中，灰鸽子文件svchosts.DLL和svchostsKey.DLL都可以被瑞星查杀，如果先使用瑞星在线免费查毒服务扫描系统，处理起来也许就不必这么麻烦了。

2、对于灰鸽子之类隐藏自身文件和系统服务的程序，还是在安全模式下（远程协助可以使用带网络连接的安全模式）处理比较好。在本例中，由于该网友的电脑无法以安全模式启动，在一般模式下处理就多费手脚了。在命令提示符窗口中处理又太慢了。

3、IceSword是很强大的系统检测和修复工具，但还是有一些不足：

1）在远程协助中使用，反应速度比较慢。在删除注册表中的灰鸽子系统服务启动项时，开始想用IceSword删除，但最后还是用注册表编辑器regedit.exe来实施。

2）不支持文件和文件夹拖放，不支持文件改名，不能调用系统Shell关联菜单。

4、由于IceSword 1.12版的不足，所以对于灰鸽子之类隐藏自身文件的程序，在用IceSword的Copy to功能复制被隐藏的文件时最好在指定目标文件名时最好改变文件名或者加上.bak之类的扩展名，使文件可以显示出来，以便进行文件打包等操作。

5、HijackThis 1.99.1版生成的简明log及启动项列表均不能列出系统进程所调用的模块文件，这不利于发现以DLL文件等形式注入其他进程运行的病毒、木马等恶意程序。

上一页  [1] [2]