[部分原创]灰鸽子木马手工清除方法

coolsila

【原创】今天发现某个常用软件突然不能使用了，怀疑机子中了病毒，随查看任务管理器中的进程，发现我并没打开IE浏览器，却有一IEXPLORE.EXE进程存在，而且不能中止。上网先查IEXPLORE.EXE关键词，看了几个网页，初步判断本机中了灰鸽子。遂到winnt（win2k系统）目录下查看是否有灰鸽子特征的病毒文件，发现一system_hook.dll为当天日期文件，基本断定其为病毒文件之一。直接删除system_hook.dll，重启后发现IEXPLORE.EXE进程仍然存在，system_hook.dll又重生了。遂再检索system_hook.dll，发现卡卡社区有手工清除灰鸽子的方法，特转来如下：
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
【转贴】灰鸽子2005手工查杀方法总结

最近，不少网友反映——感染了灰鸽子病毒后，杀软杀不净。综合网上的有关资料以及我自己手工查杀的实践，现将灰鸽子2005的手工查杀方法总结如下，供朋友们参考。
灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件；病毒文件名可变，但有一定规律。目前为止，我见过的病毒文件均在%WinDir%下；病毒文件名可以是以下三组之一：
1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll
2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll
3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll
病毒文件名的命名规律是：X.exe，X.dll，X_Hook.dll，其中“X”指文件名的变化部分。在WINDOWS模式下，三个病毒文件均为隐藏文件。在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后，在安全模式下才能看到病毒文件。

手工查杀灰鸽子2005的关键是找到病毒注册的系统服务名及病毒文件X.exe所在位置。用HijackThis 1.99.0扫日志即可达到此目的（见附图）。HijackThis 1.99.0的下载地址：http://forum.ikaka.com/download.asp?id=5188960。这步操作在普通WINDOWS模式下即可完成，不一定非在“安全模式”下完成。

确定并记下病毒服务名称后，即可重启系统至安全模式，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\\ SYSTEM\\ CURRENT CONTROLSET\\ SERVICES \\ 病毒服务名称（如：“GrayPigeonServer”），将其删除。

在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。重启系统，手工杀毒即告完成。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

【原创】本人根据上面转贴内容进行操作，发现本机中的是灰鸽子的变种，其病毒源文件为winnt目录下的system.exe。可我寻找这个system.exe费了九牛二虎之力，原因在于我只按习惯选择了“显示所有文件及文件夹”选项，在安全模式下发现不了system.exe及其另一个dll文件（忘了名字了，但日期与system_hook.dll相同），只有再反选“隐藏受保护的操作系统文件（推荐）”才能在资源管理器中真正显示所有文件。遂毫不犹豫删除system.exe以及三个衍生文件（与system_hook.dll日期相同），再利用HijackThis扫描日志提供的信息，将注册表中HKEY_LOCAL_MACHINE\\ SYSTEM\\ CURRENT CONTROLSET\\ SERVICES \\application layer键连根删除，在重启机器，在进程中再也找不到IEXPLORE.EXE了，那个常用软件也恢复正常了。

okwxq

呵呵，原创和转贴标注得好清楚啊。
思路相当清楚哦，表述也清楚，不愧大侠风范，pfpf。

jeson_1030

路过看看，不懂得太多，大侠就是大侠
偶几乎是个计算机盲！

jefeechen

谢谢楼主的好文章．