关于HijackThis日志发现灰鸽子的处理方法

来源：作者：出处：巧巧读书 2006-05-18 进入讨论组

　　灰鸽子变种很多，查杀方法各异。本文只适用于下述情形:

　　(1)杀毒软件报告灰鸽子但杀不净;

　　(2)HijackThis日志中发现异常O23项(如:O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe);且(3)灰鸽子的文件在%windows% 目录下。

　　这类灰鸽子的手工查杀流程:

　　1、打开注册表编辑器，展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。删除灰鸽子的服务项。

　　怎么确认灰鸽子服务项的名字?看HijackThis日志O23的提示。如:O23 - Service: svchost (Windows Access)，括弧中的Windows Access就是你要删除的灰鸽子服务项。

　　如果HijackThis日志O23的提示中没有括弧中的内容，紧接在Service:后面的内容就是灰鸽子的服务名――删!

　　有人可能会问:这是不是笨了点儿?在HijackThis面板中直接点击这个O23，再点击“修复”不就完了吗?

　　是的。我也知道有此一法。但这种方法并不能保证你总能修复掉这个异常的O23。最后，还是要用注册表编辑器删除它。

　　2、重启系统。为什么要重启? 因为这类鸽子没有注册表监控。删除其服务项后，重启系统，鸽子就不能运行了。这时，鸽子的文件可以随便删。

　　3、显示隐藏文件，删除鸽子的文件。

　　这类鸽子的文件都在%windows% 目录下。%windows%是什么意思?%windows%是个变量符号，表示“WINDOWS”目录。因为每个人的系统不一定都安装在相同的分区，因此，只能这么表示。如果你的系统安装在C盘，%windows%指的是C:\WINDOWS;如果你的系统安装在D盘，%windows%指D:\WINDOWS，依此类推。

　　怎么确认鸽子的文件名?还是看HijackThis日志。Unknown owner - 后面的内容就是鸽子文件的所在位置及其文件名。本例是C:\WINDOWS\windr.exe)。

　　注意:除了可执行文件.exe外(本例是windr.exe)，%WINDOWS%下可能还有包含可执行文件名的.dll文件(以本例为例，这些dll的文件名可能有windr.dll、windr_hook.dll、windrKey.dll)，这些文件数目不定。只要有，也要删除。

图文结合：http://www.qqread.com/virus/d265433.html