關於HijackThis日誌發現灰鴿子的處理方法
鴿子變種很多,查殺方法各異。本帖只適用於下述情形:
(1)殺毒軟體報告灰鴿子但殺不淨;且(2)HijackThis日誌中發現異常O23項(如:O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe);且(3)灰鴿子的文件在%windows% 目錄下。
這類灰鴿子的手動式查殺流程:
1、開啟註冊表編輯器,展開:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。移除灰鴿子的服務項。
怎麼驗證灰鴿子服務項的名字?看HijackThis日誌O23的提示。如:O23 - Service: svchost (Windows Access),括弧中的Windows Access就是你要移除的灰鴿子服務項。
如果HijackThis日誌O23的提示中沒有括弧中的內容,緊接在Service:後面的內容就是灰鴿子的服務名——刪!
有人可能會問:這是不是笨了點兒?在HijackThis面板中直接點擊這個O23,再點擊「修復」不就完了嗎?
是的。我也知道有此一法。但這種方法並不能保證你總能修復掉這個異常的O23。最後,還是要用註冊表編輯器移除它。
2、重啟系統。為什麼要重啟? 因為這類鴿子沒有註冊表監控。移除其服務項後,重啟系統,鴿子就不能執行了。這時,鴿子的文件可以隨便刪。
3、顯示隱藏文件,移除鴿子的文件。
這類鴿子的文件都在%windows% 目錄下。%windows%是什麼意思?%windows%是個變數符號,表示「WINDOWS」目錄。因為每個人的系統不一定都安裝在相同的分區,因此,只能這麼表示。如果你的系統安裝在C碟,%windows%指的是C:\WINDOWS;如果你的系統安裝在D碟,%windows%指D:\WINDOWS,依此類推。
怎麼驗證鴿子的檔案名?還是看HijackThis日誌。Unknown owner - 後面的內容就是鴿子文件的所在位置及其檔案名。本例是C:\WINDOWS\windr.exe)。
注意:除了可執行文件.exe外(本例是windr.exe),%WINDOWS%下可能還有包含可執行檔案名的.dll文件(以本例為例,這些dll的檔案名可能有windr.dll、windr_hook.dll、windrKey.dll),這些文件數目不定。只要有,也要移除。
|