灰鴿子變種很多,查殺方法各異。本文只適用於下述情形:
(1)殺毒軟件報告灰鴿子但殺不淨;
(2)HijackThis日志中發現異常O23項(如:O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe);且(3)灰鴿子的文件在%windows% 目錄下。
這類灰鴿子的手工查殺流程:
1、打開注冊表編輯器,展開:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。刪除灰鴿子的服務項。
怎麼確認灰鴿子服務項的名字?看HijackThis日志O23的提示。如:O23 - Service: svchost (Windows Access),括弧中的Windows Access就是你要刪除的灰鴿子服務項。
如果HijackThis日志O23的提示中沒有括弧中的內容,緊接在Service:後面的內容就是灰鴿子的服務名――刪!
有人可能會問:這是不是笨了點兒?在HijackThis面板中直接點擊這個O23,再點擊“修復”不就完了嗎?
是的。我也知道有此一法。但這種方法並不能保證你總能修復掉這個異常的O23。最後,還是要用注冊表編輯器刪除它。
2、重啟系統。為什麼要重啟? 因為這類鴿子沒有注冊表監控。刪除其服務項後,5自學網,重啟系統,5自學網,鴿子就不能運行了。這時,鴿子的文件可以隨便刪。
3、顯示隱藏文件,刪除鴿子的文件。
這類鴿子的文件都在%windows% 目錄下。%windows%是什麼意思?%windows%是個變量符號,表示“WINDOWS”目錄。因為每個人的系統不一定都安裝在相同的分區,因此,只能這麼表示。如果你的系統安裝在C盤,%windows%指的是C:\WINDOWS;如果你的系統安裝在D盤,%windows%指D:\WINDOWS,依此類推。
怎麼確認鴿子的文件名?還是看HijackThis日志。Unknown owner - 後面的內容就是鴿子文件的所在位置及其文件名。本例是C:\WINDOWS\windr.exe)。
注意:除了可執行文件.exe外(本例是windr.exe),%WINDOWS%下可能還有包含可執行文件名的.dll文件(以本例為例,這些dll的文件名可能有windr.dll、windr_hook.dll、windrKey.dll),這些文件數目不定。只要有,也要刪除。