手工清除灰鴿子有什么方法

手工清除灰鴿子有什么方法

　　當(dāng)你的電腦中了灰鴿子電腦病毒時(shí)，你會(huì)怎么辦，沒事不要緊的!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的手工清除灰鴿子方法介紹!希望對(duì)你有幫助!

　　手工清除灰鴿子方法介紹：

　　當(dāng)我運(yùn)行那個(gè)文件時(shí)，KV殺毒軟件就彈出了告警窗口

　　木馬被隔離

　　為什么到這時(shí)才發(fā)現(xiàn)呢?因?yàn)檫@種木馬采用了“組裝合成法”，就是把一個(gè)合法的程序和一個(gè)木馬綁定，當(dāng)運(yùn)行合法程序時(shí)，木馬就自動(dòng)加載，同時(shí)，由于綁定后木馬的代碼發(fā)生了變化，根據(jù)特征碼掃描的殺毒軟件是很難查出來的。這也就是我中招的原因。

　　一波三折

　　中了木馬，就要想辦法清除它。這個(gè)木馬已被KV“禁用”，無法與遠(yuǎn)程的木馬客戶端進(jìn)行通信。單從這個(gè)角度講，如果不去管它，也無大礙?？擅看螁?dòng)電腦KV就報(bào)告，讓人整天提心吊膽，并且我的Maxthon瀏覽器每次關(guān)閉網(wǎng)頁(yè)窗口，都要彈出“error”提示，這種情況以前從未發(fā)生過，顯然是這個(gè)木馬搞的鬼!

　　怎么辦呢?因?yàn)槭菍?shí)驗(yàn)室的電腦，光驅(qū)和軟驅(qū)被拆掉了，不支持U盤啟動(dòng)，也沒有做過Ghost備份，所以既進(jìn)入不了DOS，也無法用Ghost備份來恢復(fù)。我決定先試試在Win2000中能否用KV將木馬清除掉，可當(dāng)KV查到Winserverhook.dll時(shí)，電腦就自動(dòng)關(guān)機(jī)重啟了，而且啟動(dòng)后要藍(lán)屏查硬盤!隨后通過多次試驗(yàn)發(fā)現(xiàn)，用KV2004去查，不論是殺毒狀態(tài)、查毒狀態(tài)還是詢問狀態(tài)，只要一查到winServerHook.Dll這個(gè)文件，電腦就立刻重啟。而且也無法復(fù)制、剪切、刪除和修改winServerHook.Dll這個(gè)文件。這使我愈發(fā)相信，winServerHook.Dll是個(gè)重要的、開機(jī)就要調(diào)入內(nèi)存的系統(tǒng)動(dòng)態(tài)鏈接庫(kù)(后來的事實(shí)證明，這是這個(gè)木馬最容易讓人上當(dāng)之處!)。

　　此后，我檢查了注冊(cè)表和幾個(gè)重要的系統(tǒng)文件。傳統(tǒng)的木馬會(huì)在注冊(cè)表里或Win.ini、System.ini文件里留下某些痕跡，例如在注冊(cè)表的HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion \Run中加上可疑的鍵值。檢查結(jié)果令人失望，在整個(gè)注冊(cè)表里都搜索不到任何有關(guān)“huigezi”這個(gè)鍵值，“winserver”這個(gè)字符串在注冊(cè)表中可以找到，但我認(rèn)為它是系統(tǒng)DLL，也不敢對(duì)它下手。

　　柳暗花明

　　到此為止我認(rèn)識(shí)到這種木馬不簡(jiǎn)單，很可能是采用了DLL動(dòng)態(tài)鏈接庫(kù)技術(shù)和反彈端口技術(shù)。還好被KV及時(shí)發(fā)現(xiàn)并禁用。它的反彈端口是Game over了，可畢竟它已成功地安裝，它的DLL動(dòng)態(tài)鏈接庫(kù)技術(shù)就使我難以把它清除掉。

　　DLL動(dòng)態(tài)鏈接庫(kù)技術(shù)

　　DLL動(dòng)態(tài)鏈接庫(kù)技術(shù)是用木馬DLL修改或替換常用的系統(tǒng)DLL文件。這樣做能在進(jìn)程查看器中隱形，而且能隨系統(tǒng)DLL一起開機(jī)后自動(dòng)啟動(dòng)調(diào)入內(nèi)存運(yùn)行，難以被發(fā)現(xiàn)。即便被發(fā)現(xiàn)，也對(duì)企圖查殺它的行為起到嚇阻作用，因?yàn)椴闅⑺涂赡軅Φ较到y(tǒng)文件，就要冒整個(gè)系統(tǒng)崩潰的危險(xiǎn)!

　　反彈端口型木馬

　　反彈端口型木馬是針對(duì)防火墻對(duì)于連入的鏈接會(huì)進(jìn)行非常嚴(yán)格的過濾，但是對(duì)于連出的鏈接卻疏于防范這一特點(diǎn)進(jìn)行滲透的。與一般木馬相反，它是用安裝在被控制電腦內(nèi)部的服務(wù)端去主動(dòng)連接木馬的客戶端，而且用的是合法端口，把數(shù)據(jù)包含在像HTTP或FTP的報(bào)文中。采用這種技術(shù)的木馬，一旦被它成功地安裝運(yùn)行，那中招電腦的防火墻簡(jiǎn)直就是形同虛設(shè)了。

　　我嘗試進(jìn)入Win2000的安全模式，在安全模式中系統(tǒng)只加載一些最基本的系統(tǒng)程序，說不定不會(huì)加載winServerHook.Dll這個(gè)文件呢。重啟按“F8”鍵進(jìn)入安全模式，一試果然如此!可以任意對(duì)winServerHook.Dll這個(gè)文件進(jìn)行刪除、剪切等操作，說明系統(tǒng)并沒有加載它進(jìn)內(nèi)存!我立刻把它復(fù)制到D盤做個(gè)備份，萬一在清除它所中的木馬時(shí)出現(xiàn)什么問題就D盤的備份進(jìn)行恢復(fù)。然后運(yùn)行KV來清除木馬，這次順利地清除了，簡(jiǎn)直是一帆風(fēng)順。我重啟電腦進(jìn)入正常模式了，但是KV2004又彈出了那個(gè)陰魂不散的窗口!

　　為什么重啟電腦后它又死而復(fù)生呢?我決定換種方式，從別的Win2000系統(tǒng)中Copy一個(gè)winServerHook.Dll。但我卻驚訝地發(fā)現(xiàn)，別人的Win2000系統(tǒng)中竟然沒有這個(gè)文件!
看了“手工清除灰鴿子有什么方法”文章的還看了：

1.電腦病毒灰鴿子清除

2.電腦病毒灰鴿子傳播方式

3.電腦病毒清除方法

4.如何清除頑固電腦病毒

5.什么是askmgr.exe