和"灰鸽子"木马病毒(win32.hack.hupigon.f.104448,请参见前面的一篇文章)作用原理非常类似,本文就手动清除"灰鸽子2"的问题进行论述:一、病毒作用机理分析:
【1】双击运行病毒样本,该病毒样本自动删除掉了。病毒释放出两个病毒体:
c:\windows\g_server2.0.exe 大小:293,376 字节 属性:a-s-r-h
c:\windows\system32\cpoiuyk.dll 大小:9,728 字节 属性:a-h
【2】在系统服务中添加名为"graypigeonserver2.0"的服务项,该服务指向c:\windows\g_server2.0.exe
【3】在iexplore.exe进程中注入c:\windows\system32\cpoiuyk.dll
【4】在注册表中添加下列四项(包含若干子项目,详见下文):
hkey_local_machine\system\controlset001\enum\root\legacy_graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\enum\root\legacy_graypigeonserver2.0
hkey_local_machine\system\controlset001\services\graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\services\graypigeonserver2.0
下面将病毒测试过程进行截图并加以说明:
运行hijackthis v1.99,发现系统服务中增加了一项 —— (图01)
察看进程,发现iexplore.exe进程中被注入了cpoiuyk.dll —— (图02)
进入"文件夹选项",切换到"查看"标签,按照下图所示进行设置 —— (图03)
修改察看方式以后就可以在 c:\windows\ 和 c:\windows\system32\ 目录下看到上文叙述的病毒体,由于当前病毒正处于激活状态,所以对这两个文件进行操作的话,会提示该文件被锁定。
下面是注册表添加的四个项:
key_local_machine\system\controlset001\enum\root\legacy_graypigeonserver2.0 —— (图04、05、06)
hkey_local_machine\system\currentcontrolset\enum\root\legacy_graypigeonserver2.0 —— (图07、08、09)
hkey_local_machine\system\controlset001\services\graypigeonserver2.0 —— (图10、11、12)
hkey_local_machine\system\currentcontrolset\services\graypigeonserver2.0 —— (图13、14、15)
二、手动杀毒操作演示:
【1】"开始菜单"——"运行"——"services.msc"——回车,将出现系统服务配置窗口。 —— (图16)
【2】找到名为"graypigeonserver2.0"的服务项(图17),如图所示:启动类型为"自动",状态显示为空白。在该服务项上点击右键,选择"属性"(图18),更改启动类型为"已禁用"。点击"确定"以后,重新启动计算机。
【3】重启计算机进入windowsxp操作界面以后,该病毒处于非激活状态。
这时候可以顺利的删除
c:\windows\g_server2.0.exe
c:\windows\system32\cpoiuyk.dll
两个病毒体。
【4】"开始菜单"——"运行"——"regedit"——回车,将出现注册表编辑窗口。
找到下面两项并删除:
hkey_local_machine\system\controlset001\services\graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\services\graypigeonserver2.0
到这一步,"灰鸽子2"木马病毒已经被顺利手动清除掉了。
〖5〗我们看可以看到,病毒在注册表的下面两个位置也添加了项:
hkey_local_machine\system\controlset001\enum\root\legacy_graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\enum\root\legacy_graypigeonserver2.0
但是当我们找到这两个键值删除的时候,会显示错误信息对话框 —— (图19)
说明:我尝试了使用msconfig.exe配置诊断模式、系统安全模式两种环境下操作,依旧报错。
该项处于锁定状态。(百思不得其解,希望高手指点!!!)
经过测试发现,这两个键值保留在注册表中,不会有影响正常使用,也不会激活病毒。
也许这是杀毒过后残余的系统垃圾吧!
〖6〗抛开现有的windowsxp操作系统,借助功能强大的光盘版操作系统erd commander,
可以很轻易的清除掉这两项注册表项。
但并不是每一个计算机用户都有必要拥有erd commander工具光盘。
对于一般用户,建议手动清除"灰鸽子2"木马病毒到本文叙述的第四步就可以了。
对于拥有erd commander工具光盘的用户,可以按照下文的方式操作:
重启计算机,更改bios设置为从cd-rom引导计算机,放入erd commander光盘,
(这里我采用的是erd commander 2005 英文版进行演示)
光盘引导,进入erd commander登陆界面 —— (图20)
〖7〗选择当前操作系统系统目录,这里是"c:\windows\",点击"ok"。
引导进入系统以后,点击"start"——"administrative tools"——"regedit", —— (图21)
启动注册表编辑窗口,找到下面两项并删除:
hkey_local_machine\system\controlset001\enum\root\legacy_graypigeonserver2.0
hkey_local_machine\system\currentcontrolset\enum\root\legacy_graypigeonserver2.0
至此,"灰鸽子2"木马病毒已经完全被顺利手动清除掉了。(包括残余垃圾)
| 
鲁公网安备 37120302000001号
