【转载】手把手.教你用各种办法抵挡灰鸽子的进攻（Backdoor.Gpigeon）超详细

從前以后

现在流行的灰鸽子版本繁多，还不时有新版本出现。感染系统后，灰鸽子的DLL或DAT插入系统当前的多个进程中。因而，这个木马很难杀。中招后，很多杀软（包括卡巴斯基这样的名杀软）都不能顺利搞掂这个木马。目前最有效的方法还是手工查杀。<br>不同版本的灰鸽子，手工查杀方法有所不同，且手工查杀操作涉及几种工具的使用，不是一般采鸟所能立即掌握的。因此，很多网友询问——有没有什么办法可以预防系统感染灰鸽子。<br>答案是：有。用SSM就可以。<br>下载后，解压RAR包，点击那个EXE文件，按提示正确回答，即可完成安装。安装过程很简单。<br>下一步，是很多人常问的问题——如何设置SSM。其实，为了预防感染木马/病毒而使用SSM，其设置非常简单，勾选图1所示的三个复选框，再勾选图7中的选项，保证SSM启动加载即可。<br>完成这些简单的基本设置，以后，每当有病毒木马遛进你系统时，SSM都会提示你。<br>关于SSM的设置，还有更进一步的内容，这里不做进一步说明。想了解SSM详细设置者，请看这里——<a href="http://www.cfan.com.cn/pages/20050901/2534.htm" target="_blank" >http://www.cfan.com.cn/pages/20050901/2534.htm<;/A>，讲得很详细。<br>接下来看看个SSM预防灰鸽子的效果（见图2-图6）。<br>当然了，SSM提防的不仅仅是灰鸽子。其它木马感染系统时，SSM也会报警。前提是——你的SSM使用、设置没有不当之处。<br><B><FONT color=#ff0000>注意：SSM——系统安全监控器。它不是杀毒软件，也不是网络防火墙。关于SSM的简介，请看本贴第2楼</FONT></B><br>图1<br>SSM最基本的设置<br><IMG src="http://forum.ikaka.com/uploadfiles/20059/21/155847200592102225.jpg" border=0><br><br><br><br><br><br><br><br><br><br><br><br><br>图2<br>灰鸽子刚刚进入系统，即被SSM发现。这时，按F2键，完全可以阻止灰鸽子进入系统。<br><IMG src="http://forum.ikaka.com/uploadfiles/20059/21/155847200592102332.jpg" border=0><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>图3<br>到这步，灰鸽子的文件已经拷入系统。此时，如果你按F2键或点击“总是阻止该操作”，还为时不算太晚。 灰鸽子尚未注册为系统服务。<br><IMG src="http://forum.ikaka.com/uploadfiles/20059/21/155847200592102408.jpg" border=0><br><br><br><br><br><br><br><br><br><br><br><br><br><br>图4<br>鸽子已经完成系统感染的绝大部分。这步是要插入IE浏览器。如果这时按F2，阻止其插入，以后的杀毒操作会简单些。<br><IMG src="http://forum.ikaka.com/uploadfiles/20059/21/155847200592102454.jpg" border=0><br><br><br><br><br><br><br><br><br><br><br><br><br>图5<br>灰鸽子调用CONIME.EXE，完成最后的感染步骤。<br><IMG src="http://forum.ikaka.com/uploadfiles/20059/21/155847200592102542.jpg" border=0><br><br><br><br><br><br><br><br><br><br><br><br><br><br>图6<br>这里不但告诉你灰鸽子添加了那些注册表项，还告诉你：灰鸽子创建的病毒文件及其所在路径。<br>这时，分别点击面板中提示的两个项目并按F2键，可以阻止灰鸽子添加启动加载项。然后，立即重启系统，删除灰鸽子创建的那两个文件，即可杀死已经进入系统的灰鸽子。<br><IMG src="http://forum.ikaka.com/uploadfiles/20059/21/155847200592102624.jpg" border=0><br><br><br><br><br><br><br><br><br><br><br><br><br>图7<br><IMG src="http://forum.ikaka.com/uploadfiles/20059/21/155847200592104232.jpg" border=0><br><br><br><br><br><br>“监控程序活动”这项如果不是在试样本的最好不开，否则开任何东西都有提示<br><!---->

[此贴子已经被作者于2005-11-24 2:46:04编辑过]

[ 本帖最后由 nic61 于 2008-10-15 23:54 编辑 ]

從前以后

SSM2.0下载地址：http://www.syssafety.com/files.html

使用System Safety Monitor (SSM)， 您可以实时监控您的系统活动、终止那些您不需要或不希望发生的系统活动。SSM 包括以下三个可以独立运行的模块：

1、应用程序监控模块（Application Monitoring Module ，AMM）：

AMM监控所有已经启动的应用程序，并允许您进行下列控制：
（1)“DLL-注入”和“代码注入”活动；键盘间谍程序及键盘驱动程序"rootkits"的安装。
（2）允许或拒绝应用程序启动。
（3）哪些应用程序可以（或不能）启动用户指定的某些其它应用程序；哪些应用程序可以（或不能）被用户指定其它应用程序启动。
（4）如果某个应用程序变更、修改或升级后，它能（或不能）被启动。

此外，AMM还为您提供了以下几个工具：
（1）进程启动/终止工具；
（2）进程启动/终止通知；
（3）使进程驻留在内存中的选项（重新启动被关闭或中止的某进程）；
（4）中止/重启某个进程。只有WinNT 系统（ Windows NT, Windows 2000, Windows XP, Windows 2003）才能使用这个工具；
（5）附加/去除附加到某个指定的应用程序的.DLL及其列表（仅限于NT系统）；
（6）将正在运行的应用程序图象保存到文件中（仅限于NT系统）。

2、附加插件模块：

这些模块监控重要的注册表键、启动文件夹、.ini文件、已安装的服务、包括BHO在内的IE浏览器设置。
这些模块可以具有下列功能：
（1）当已安装项目发生改变时及时通知您；
（2）自动阻止某些具有潜在危险的修改；
（3）您可以变更“修改”的”允许/阻止”状态。

3、WINDOWS监控模块（Window Monitoring Module ，WMM）：
WMM监控已打开的窗口，并自动关闭已列入“关键词黑名单”的窗口。

此外，借助于WMM，您还可以进行下列操作：

（1）已打开窗口列表；
（2）显示隐藏的窗口，或隐藏显示的窗口；
（3）解锁那些可见但不能使用的的窗口。

從前以后

灰鸽子病毒简介[图]
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。
下面介绍一下客户端：
客户端主界面如图所示：

连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制，避免了黑客之间的竞争。
服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据！普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Internet连接共享、HTTP透明代理上网的电脑！软件智能读取系统设定的代理服务器信息，无需用户设置！
可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能！无需第三方软件支持！支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。
除了具有语音监听、语音发送，还有远程视频监控功能，只有远程计算机有摄像头，且正常打开没有被占用，那么你可以看到,远程摄像头捕获的图片！还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
其他后门具有的功能，你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致，非常人性化。整体界面比较清爽，容易上手，对每一个小细节的考虑都很到位，所有能想到的Ideal几乎都实现了。不过黑客的方便，对于广大用户来说可不是好事。
下面介绍服务端：
配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。
G_Server.exe第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务（服务名称在上面已经配置好了），然后从体内释放2个文件到Windows目录下：G_Server.dll， G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将 G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后 G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的 G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。
G_Server.dll实现后门功能，与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括：文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理，提供MS-Dos shell，提供代理服务,注册表编辑，启动telnet服务，捕获屏幕，视频监控，音频监控，发送音频，卸载灰鸽子…… 可以说，用户在本地能看到的信息，使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易，则远程屏幕监控容易暴露用户的帐号，在加上键盘监控，用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密，如“相貌”，“声音”。
G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦。
灰鸽子的运行原理
灰鸽子木马分两部分：客户端和服务端。攻击者操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe。 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、 G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为 G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为 A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动 G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信； G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。
手工检测：
建议在安全模式下找一下和dll文件同名的exe文件（如svchost.exe），找之前，把“隐藏受保护的操作系统文件和文件夹”勾去掉，显示所有文件和文件夹，隐藏已知文件类型扩展名也去掉，找到后删除，建议不要用搜索找，最好直接到c:\windows或c:\winnt文件夹下找。灰鸽子病毒一般由以下三个文件组成：
*.exe
*.dll
*_hook.dll
*为病毒文件名
灰鸽子释放出来的两个DLL文件，在某些变种中又出现了一些变化
*_HOOK.DLL
*KEY.DLL
*为病毒文件名，比如 scv_hook.dll scvkey.dll
也有的产生四个病毒文件。
在附几个灰鸽子的图片：


灰鸽子的手工清除
经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。
注意：为防止误操作，清除前一定要做好备份。
一、清除灰鸽子的服务
2000／XP系统：
1、打开注册表编辑器（点击"开始"－》"运行"，输入"Regedit.exe"，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单"编辑"－>"查找"，"查找目标"输入"G_Server.exe"，点击确定，我们就可以找到灰鸽子的服务项。
3、删除整个G_Server项。
98／me系统：
在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run项，我们立即看到名为G_Server.exe的一项，将G_Server.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。
防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序
　　2. 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户
　　3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护
　　4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
作者：star1025
时间：2005-11-07 4:26:45
回复本贴
“新版灰鸽子”的一些特点及手工查杀举例
转自瑞星社区
参考指南：
1、木马文件所在位置不定。目前，看到三种情况：
（1）木马文件在%windows%文件夹中。这和“灰鸽子2005”没太大区别。
（2）木马文件在%windows%\Internet Explorer\文件夹中（这个文件夹是灰鸽子创建的）。
（3）木马文件在%system%\drviers\文件夹中。
2、可执行文件.exe的文件名变化不定。目前见到的有：
C:\windows\Internet Explorer\svchost.exe
C:\WINDOWS\system32\drivers\UPS.exe
3、共同的特点：
（1）以前的.DLL文件没了，改成了一个.DAT文件。可执行文件.exe与.DAT文件同在一个位置。.exe和.DAT文件名随机。我拿到的一个样本，感染系统后，在C:\windows\下创建一个名为Internet Explorer的文件夹；生成的木马文件位于C:\windows\Internet Explorer\文件夹内（杀毒前，用资源管理器看不到其中的木马文件）。用IceSword可看到这个文件夹中的两个木马文件svchost.exe 和XXXXXX.DAT(XXXXXX为可变的大写英文字母)。
（2）HijackThis1.99.1日志中可以发现异常系统服务项O23。如：O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe。其中，括弧中的virtual就是要删除的注册表项；C:\windows\Internet Explorer\是木马可执行文件所在的文件夹，svchost.exe是木马的可执行文件。
（3）感染系统后，那个.DAT通过iexplore.exe插入系统中当前活动的多个正常程序的进程（见附图中的红色部分）。这正是灰鸽子难杀的根本原因。
4、手工查杀（以我拿到的那个样本为例）：
在IceSword的“设置”中勾选“禁止进程创建，结束木马进程（本例是C:\windows\Internet Explorer\svchost.exe）、iexplore.exe（IE浏览器进程）。
用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项（本例是virtual和mchInjDrv，均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支）。
在IceSword的“设置”中取消“禁止进程创建”，重启系统。
将C:\windows\Internet Explorer\整个文件夹删除。




关于查杀“灰鸽子2005”的一点建议
这个病毒的特点是：1、运行后，病毒进程插入所有当前正在运行的进程中；2、隐藏病毒自身进程；3、隐藏病毒文件；4、将自身注册为系统服务，实现启动加载。因此，染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名，将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而，由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门，没有一定规律可循，因而使不少人中招后难以下手清除病毒。
其实，灰鸽子2005有一个弱点，可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志，O23项可以显示灰鸽子注册的系统服务名（例：WindowsPowerServer）和可执行文件名（例： D:\WINDOWS\spoolvs.exe）。（注：NT系统的HiajckThis日志中才有O23项；WIN98等非NT系统不可能有此项。）
因此，建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作：
1、用HijackThis1.99.1（本帖附件中的一个小工具）扫系统日志，在O23项中寻找灰鸽子2005注册的系统服务名（例：WindowsPowerServer）。如果自己看不懂HijackThis日志，可以将日志贴在帖子中，请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名（例： WindowsPowerServer）。
3、重启系统，在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。然后在%windows%下寻找病毒文件名（例： D:\WINDOWS\spoolvs.exe），找到后删除之。需要注意的是：灰鸽子2005生成的病毒文件为一组，3－4个。病毒文件命名有一定规律，即：X.exe、X.dll、X_hook.dll以及XKey.dll，其中“X”指病毒文件名的可变部分。例如，你的系统感染灰鸽子2005后，在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息，那么，这个日志提示：这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”；生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll，可能还有一个spoolvsKey.dll。这一组3－4个病毒文件位于D:\WINDOWS\文件夹中。
附：HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名（供手工杀毒参考）
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE
O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe
O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe
O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe
O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe
O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe
O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe
O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com
O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe
O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe
O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe
023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe
O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe
O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe
O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe
O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe
O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe

從前以后

12.灰鸽子专用卸载程序:

卸载灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
http://down.huigezi.net/tools/un_hgzserver.exe
灰鸽子VIP2005服务端专用卸载程序:本程序可以自动检测和清除灰鸽子VIP2005版服务端端
http://down.huigezi.net/hgz/DelHgzvip2005Server.exe

这些工具由灰鸽子工作室开发的

灰鸽子后门专杀工具 1.1.1
http://www.onlinedown.net/soft/43101.htm

BlackHole&灰鸽子后门专杀工具 绿色版
http://soft.cnzz.cn/soft/html/22834.html

從前以后

“新版灰鸽子”的一些特点及手工查杀举例
参考指南：
1、木马文件所在位置不定。目前，看到三种情况：
（1）木马文件在%windows%文件夹中。这和“灰鸽子2005”没太大区别。
（2）木马文件在%windows%\Internet Explorer\文件夹中（这个文件夹是灰鸽子创建的）。
（3）木马文件在%system%\drviers\文件夹中。
2、可执行文件.exe的文件名变化不定。目前见到的有：
C:\windows\Internet Explorer\svchost.exe
C:\WINDOWS\system32\drivers\UPS.exe
3、共同的特点：
（1）以前的.DLL文件没了，改成了一个.DAT文件。可执行文件.exe与.DAT文件同在一个位置。.exe和.DAT文件名随机。我拿到的一个样本，感染系统后，在C:\windows\下创建一个名为Internet Explorer的文件夹；生成的木马文件位于C:\windows\Internet Explorer\文件夹内（杀毒前，用资源管理器看不到其中的木马文件）。用IceSword可看到这个文件夹中的两个木马文件svchost.exe 和XXXXXX.DAT(XXXXXX为可变的大写英文字母)。
（2）HijackThis1.99.1日志中可以发现异常系统服务项O23。如：O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe。其中，括弧中的virtual就是要删除的注册表项；C:\windows\Internet Explorer\是木马可执行文件所在的文件夹，svchost.exe是木马的可执行文件。
（3）感染系统后，那个.DAT通过iexplore.exe插入系统中当前活动的多个正常程序的进程（见附图中的红色部分）。这正是灰鸽子难杀的根本原因。
4、手工查杀（以我拿到的那个样本为例）：
在IceSword的“设置”中勾选“禁止进程创建，结束木马进程（本例是C:\windows\Internet Explorer\svchost.exe）、iexplore.exe（IE浏览器进程）。
用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项（本例是virtual和mchInjDrv，均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支）。
在IceSword的“设置”中取消“禁止进程创建”，重启系统。
将C:\windows\Internet Explorer\整个文件夹删除。

fengye1987

这么多？？
看不懂呢。。。

Юip_Ｈop

都没有图片
我不是很清楚做法

nicfans

…其实装个正版杀毒软件就行了，不推荐使用瑞星和金山

xuweifeng

太难懂了