| |
情况描述:开机后病毒防火墙提示“内存中发现木马病毒,已清除”。既然已清除,应该没问题了,谁知下一次启动电脑,病毒防火墙再次提示“内存中发现木马病毒,已清除”。我启动杀毒软件,把硬盘整个扫描一遍后,竟然提示没有发现病毒。电脑知识网推荐文章
我的杀毒软件是通过在线实时升级的,目前是最新版本,看来杀毒软件对付不了它。通过查看病毒防火墙日志,显示为“Iexplore.exe>>c:\program files\Internet Exploer\Iexplore.exe->backdoor.Gpigeon.snl”。这不就是大名鼎鼎的灰鸽子木马病毒吗?灰鸽子以其操作的便捷和功能的强大,不易被查除且变种诸多等原因,而在网络上广为流传。于是请来了灰鸽子后门专杀工具,竟然杀不掉,又请来木马清道夫,也不行。然后使用QQ木马专杀和反间谍专家均不能解决问题。如何清除灰鸽子呢?
搜索特定文件无头绪
灰鸽子无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。又由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件,然后打开Windows的“搜索”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录。
经过搜索,却没有发现以“_hook.dll”结尾的文件。于是把搜索范围扩大到整个C盘,只搜索到一个mag_hook.dll的文件,路径为c:\windows\system32,而这个文件是系统所必需的。况且如果mag_hook.dll是病毒文件的话,还应该有相应的mag.exe、mag.dll文件和用于记录键盘操作的magKey.dll文件,但这些都没有。
既然找不到病毒文件,也就没法在注册表中找到相应的服务项。在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run项中,也没有多余的启动项。这下我傻眼了,难道遇到高人了?
发现疑点顺藤摸瓜 |
|
