[病毒查杀] [转帖]查杀"灰鸽子"木马病毒 Win32.Hack.Hupigon.f.104448

双击运行以后，该病毒样本自动删除掉了。——很多病毒文件都有这个特点。以后如果遇到运行以后没有反应或者文件自动消失的情况，就要提高警惕了。(图02)

启动金山毒霸dos版杀毒，在内存中发现14个病毒体，同一个病毒。全部提示查杀失败：delete fail! (图03)

启动process explorer v9.11，根据金山毒霸dos版获取的病毒位置信息，查找对应的文件：c:\windows\g_server_hook.dll，发现几乎所有的进程都被注入了这个动态连接库文件。(图04)

既然找到了病毒所在位置，最好的办法自然就是把它删除掉咯！赶紧进入c:\windows\ 目录，没有看到可疑文件。进入"文件夹选项"——"察看"——选中显示所有文件及文件夹，取消隐藏受保护的操作系统文件。依然不见病毒文件的踪迹。
windows不给面子，只好请dos出马了……(图05)
进入dos窗口，居然找到一个名为g_server.dll的文件，文件名虽然与金山毒霸dos版提示信息不符，但这个文件肯定不是好东西。用del命令删除，居然提示找不到该文件！
我晕 %……*（*—##！·

此路不通，只好试试金山毒霸dos版显示的病毒文件了，先不管看得到看不到文件，既然杀毒日志记录上显示为：c:\windows\g_server_hook.dll ，就不管三七二十一，拷贝一份出来看看她长什么样子。
拷贝成功了！文件大小为104448字节，没有系统属性和隐藏属性。窃喜中……赶紧去c:\ 看看，居然没踪影！！！(图06)
第二次狂晕。

改变策略，采取拷贝并且重命名——成功！(图07)

吸取前面的教训，感觉问题不是处在病毒体本身，而是系统中某些设置被恶意修改以至于混乱了——明明显示属性为存档属性(a属性)的文件，居然看不到！明明能够用dir遍历出来的文件，并且可以用attrib查看文件属性为系统、只读、隐藏(srh属性)，用del删除居然提示文件不存在！
改用 hijackthis v1.99.exe 检查系统及ie浏览器是否遭到不明飞行物的劫持：果然不出所料，灰鸽子木马病毒以系统服务的形式存在。主程序名称居然是g_server.exe，刚才用dir遍历居然也没有显示出来！！！(图08)

赶紧进入系统服务管理程序("开始菜单"——"运行"——"services.msc"——回车)，来回巡视了n次，没有看到任何有关gray的系统服务。
进入注册表编辑器("开始菜单"——"运行"——"regedit"——回车)，进入系统服务所在位置：
hkey_local_machine\system\currentcontrolset\services\\

终于找到了罪魁祸首：graypigeonserver (图09)

毫不留情，删掉它。重启计算机以后，进入c:\windows\ (图10)
起先捉迷藏的三个病毒文件都显示出来了，无一漏网！

用金山毒霸dos版再次扫描，内存中没有病毒在运行，c:\windows\ 目录下的三个病毒文件也顺利清除掉了。至此大功告成，杀毒完毕！(图11)