当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 关于HijackThis日志发现灰鸽子的处理方法

杀毒防毒
杀毒的几条基本技巧
遭遇了“word文档杀手”病毒怎么办?
瑞星卡卡6.0阻挡木马病毒试用
奇虎360杀毒软件升级错误解决办法
扫描硬盘有效清除硬盘内隐藏的木马
识别病毒文件的四个非常不错的方法
免费的杀毒软件真的就能成功吗?
瑞星卡卡上网安全助手6.0贴心小功能
ESET NOD32杀毒软件安全套装设置技巧
MSN传播的NEW PHOTO病毒清除实战
卡巴斯基2009最新版设置自己的隐私文件
杀毒软件ESET NOD32适宜笔记本电脑选用
卡巴斯基激活码论坛卡币兑换活动
微软最大安全漏洞:木马藏于图片中
为卡巴斯基优化,提高杀毒效率
未知病毒与日俱增,杀毒软件该如何应对?
恢复瑞星全功能安全软件的监控和查杀设置
瑞星发布挂马攻击网站排行
PDF文件0Day漏洞解决方案
杀毒软件的主流技术介绍

杀毒防毒 中的 关于HijackThis日志发现灰鸽子的处理方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 45 ::
收藏到网摘: n/a

鸽子变种很多,查杀方法各异。本帖只适用于下述情形:

(1)杀软报告灰鸽子但杀不净;且(2)HijackThis日志中发现异常O23项(如:O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe);且(3)灰鸽子的文件在%windows% 目录下。

这类灰鸽子的手工查杀流程:

1、打开注册表编辑器,展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。删除灰鸽子的服务项。
怎么确认灰鸽子服务项的名字?看HijackThis日志O23的提示。如:O23 - Service: svchost (Windows Access),括弧中的Windows Access就是你要删除的灰鸽子服务项。
如果HijackThis日志O23的提示中没有括弧中的内容,紧接在Service:后面的内容就是灰鸽子的服务名——删!
有人可能会问:这是不是笨了点儿?在HijackThis面板中直接点击这个O23,再点击“修复”不就完了吗?
是的。我也知道有此一法。但这种方法并不能保证你总能修复掉这个异常的O23。最后,还是要用注册表编辑器删除它。
2、重启系统。为什么要重启? 因为这类鸽子没有注册表监控。删除其服务项后,重启系统,鸽子就不能运行了。这时,鸽子的文件可以随便删。

3、显示隐藏文件,删除鸽子的文件。
这类鸽子的文件都在%windows% 目录下。%windows%是什么意思?%windows%是个变量符号,表示“WINDOWS”目录。因为每个人的系统不一定都安装在相同的分区,因此,只能这么表示。如果你的系统安装在C盘,%windows%指的是C:\WINDOWS;如果你的系统安装在D盘,%windows%指D:\WINDOWS,依此类推。

怎么确认鸽子的文件名?还是看HijackThis日志。Unknown owner - 后面的内容就是鸽子文件的所在位置及其文件名。本例是C:\WINDOWS\windr.exe)。

注意:除了可执行文件.exe外(本例是windr.exe),%WINDOWS%下可能还有包含可执行文件名的.dll文件(以本例为例,这些dll的文件名可能有windr.dll、windr_hook.dll、windrKey.dll),这些文件数目不定。只要有,也要删除。