我一般上网都懒得开杀毒软件实时监控,昨天晚上发现网络极慢,怀疑中毒了,便打开瑞星扫了一扫,真是不查不知道,一查吓一跳,所有的进程都感染病 毒……然后就自然全系统扫描了一遍,到最后一看,全是DLL,心里就有不祥的预感,重启,再查,果然又都在。想着windows下杀不掉,然后进安全模 式,再次请出瑞星大神,结果什么都发现不了,立刻晕了。(后来才知道这个木马的源文件瑞星找不到,在安全模式下没有打开服务所以也就什么都查不到)。最后 想到dos杀毒,无奈新换的本本没有软驱,想起还有usb杀毒这一说,就研究了一遍怎么做usb自启动,然后用瑞星做好了usb杀毒。再次重启,进入 dos杀毒,这次也是只能查到dll,而且都在c盘的系统还原里,还是没有源文件,心是挖凉挖凉的阿……这时候再杀毒,立刻死机,重试多次后无果而终。后 来看了瑞星的历史记录,这个木马显示的名字是Gpigeon,我想了半天,突然觉悟,我不会中了传说中玉树临风菜鸟黑客的最爱“灰鸽子”(grey pigeon)了吧?估计只能手动移除了,准备上网去查资料,结果这个时候,最悲惨的事情发生了,整个大学宿舍的网络全都down掉了,(时至现在还是有 些问题),真是下雨偏逢屋漏。毒也杀不掉,网也上不了,心情极度郁闷,第二天早上还有九点的课,所以就愤懑地去睡觉了。
今天上课 上了一天,发现学校里面可以上网,本来都有晚上把电脑扛到图书馆去杀毒的觉悟了,但下午四点的时候网络竟然回光返照令我甚是惊喜。急忙查资料。然后顺利把 “灰鸽子”清除了。由于这个木马在运行以后就找不到了,所以得进入安全模式下杀,我先下了一个hijackthis,扫了一下日志,找到这个病毒的路径: c:\windows\svchost.exe,然后进入安全模式,现在注册表里把灰鸽子生成的服务键值删掉,然后进入c盘windows根目录下,在文 件夹选项里把“显示所有文件”和“显示系统文件夹”都勾选,然后竟然还找不到,当时头一下子都麻了。后来琢磨了一下,又回到文件夹选项里,把“隐藏受保护 的系统操作文件”前面的勾去掉了,这才找到了那两个可恨的exe和dll。
删除,重启,整个世界从此清静了……
别了,灰鸽子,别再回来了,多亏你我还顺便学会了做usb启动,寒。
以下是我参考过的网页链接,多谢那些瑞星卡卡论坛的达人啊,以后一定会多多捧场di。
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/huigz.htm
http://it.rising.com.cn/newSite/Channels/Anti_Virus/Antivirus_Base/Antivirus_Tech/200502/01-112318318.htm
http://forum.ikaka.com/topic.asp?board=28&artid=5666824
http://forum.ikaka.com/topic.asp?board=28&artid=5663551
http://it.rising.com.cn/newSite/Channels/Anti_Virus/Antivirus_Base/Antivirus_Tech/200312/25-103013344.htm
没有评论:
发表评论