手工清除灰鴿子有什麼方法

  當你的電腦中了灰鴿子電腦病毒時,你會怎麼辦,沒事不要緊的!下面由小編給你做出詳細的手工清除灰鴿子方法介紹!希望對你有幫助!

  手工清除灰鴿子方法介紹:

  當我執行那個檔案時,KV防毒軟體就彈出了告警視窗

  木馬被隔離

  為什麼到這時才發現呢?因為這種木馬採用了“組裝合成法”,就是把一個合法的程式和一個木馬繫結,當執行合法程式時,木馬就自動載入,同時,由於繫結後木馬的程式碼發生了變化,根據特徵碼掃描的防毒軟體是很難查出來的。這也就是我中招的原因。

  一波三折

  中了木馬,就要想辦法清除它。這個木馬已被KV“禁用”,無法與遠端的木馬客戶端進行通訊。單從這個角度講,如果不去管它,也無大礙。可每次啟動電腦KV就報告,讓人整天提心吊膽,並且我的Maxthon瀏覽器每次關閉網頁視窗,都要彈出“error”提示,這種情況以前從未發生過,顯然是這個木馬搞的鬼!

  怎麼辦呢?因為是實驗室的電腦,光碟機和軟碟機被拆掉了,不支援U盤啟動,也沒有做過Ghost備份,所以既進入不了DOS,也無法用Ghost備份來恢復。我決定先試試在Win2000中能否用KV將木馬清除掉,可當KV查到Winserverhook.dll時,電腦就自動關機重啟了,而且啟動後要藍屏查硬碟!隨後通過多次試驗發現,用KV2004去查,不論是防毒狀態、查毒狀態還是詢問狀態,只要一查到winServerHook.Dll這個檔案,電腦就立刻重啟。而且也無法複製、剪下、刪除和修改winServerHook.Dll這個檔案。這使我愈發相信,winServerHook.Dll是個重要的、開機就要調入記憶體的系統動態連結庫***後來的事實證明,這是這個木馬最容易讓人上當之處!***。

  此後,我檢查了登錄檔和幾個重要的系統檔案。傳統的木馬會在登錄檔裡或Win.ini、System.ini檔案裡留下某些痕跡,例如在登錄檔的HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion \Run中加上可疑的鍵值。檢查結果令人失望,在整個登錄檔裡都搜尋不到任何有關“huigezi”這個鍵值,“winserver”這個字串在登錄檔中可以找到,但我認為它是系統DLL,也不敢對它下手。

  柳暗花明

  到此為止我認識到這種木馬不簡單,很可能是採用了DLL動態連結庫技術和反彈埠技術。還好被KV及時發現並禁用。它的反彈埠是Game over了,可畢竟它已成功地安裝,它的DLL動態連結庫技術就使我難以把它清除掉。

  DLL動態連結庫技術

  DLL動態連結庫技術是用木馬DLL修改或替換常用的系統DLL檔案。這樣做能在程序檢視器中隱形,而且能隨系統DLL一起開機後自動啟動調入記憶體執行,難以被發現。即便被發現,也對企圖查殺它的行為起到嚇阻作用,因為查殺它就可能傷害到系統檔案,就要冒整個系統崩潰的危險!

  反彈埠型木馬

  反彈埠型木馬是針對防火牆對於連入的連結會進行非常嚴格的過濾,但是對於連出的連結卻疏於防範這一特點進行滲透的。與一般木馬相反,它是用安裝在被控制電腦內部的服務端去主動連線木馬的客戶端,而且用的是合法埠,把資料包含在像HTTP或FTP的報文中。採用這種技術的木馬,一旦被它成功地安裝執行,那中招電腦的防火牆簡直就是形同虛設了。

  我嘗試進入Win2000的安全模式,在安全模式中系統只加載一些最基本的系統程式,說不定不會載入winServerHook.Dll這個檔案呢。重啟按“F8”鍵進入安全模式,一試果然如此!可以任意對winServerHook.Dll這個檔案進行刪除、剪下等操作,說明系統並沒有載入它進記憶體!我立刻把它複製到D盤做個備份,萬一在清除它所中的木馬時出現什麼問題就D盤的備份進行恢復。然後執行KV來清除木馬,這次順利地清除了,簡直是一帆風順。我重啟電腦進入正常模式了,但是KV2004又彈出了那個陰魂不散的視窗!

  為什麼重啟電腦後它又死而復生呢?我決定換種方式,從別的Win2000系統中Copy一個winServerHook.Dll。但我卻驚訝地發現,別人的Win2000系統中竟然沒有這個檔案!