转贴:手动清除“灰鸽子”木马病毒的方法
“灰鸽子”(Backdoor.GPigeon.gen)是一个极具破坏力的木马病毒,它可以使中毒电脑被黑客远程控制、记录键盘操作、中止运行中的进程、强制重新启动计算机等,并且拥有多个变种,是 2005-2006 年度发作最为严重的病毒之一。清除“灰鸽子”最好借助可以随时升级病毒库的杀毒软件,或者各大杀毒软件厂商提供的“灰鸽子”专杀工具。但如果一时没有杀毒软件可用,则只能手动清除病毒。从瑞星网站上转载一篇手动清除“灰鸽子”木马病毒的方法:
1.删除“灰鸽子”建立的系统服务:
“灰鸽子”后门程序会将其自身注册为系统服务,在通常情况下无法看到“灰鸽子”生成的文件、进程以及服务和注册表信息。若要删除它们,首先必须删除“灰鸽子”注册的系统服务。以安全模式启动 Windows,打开注册表编辑器,定位到: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCH0ST.EXE(这里的 SVCH0ST 是数字 0,而不是英文字母 o),在这个注册表项中找到 ImagePath 字符串值,如果其值显示为 %SystemRoot%\GServer.EXE,则为“灰鸽子”注册的系统服务。将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCH0ST.EXE 直接删除,即可删除“灰鸽子”注册的系统服务。
2.删除“灰鸽子”文件:
修改注册表后重新启动 Windows,“灰鸽子”注册的系统服务已经被删除,因此可以直接查看到“灰鸽子”病毒文件了,即 %SystemRoot%\GServer.EXE,将其删除。如果依然看不到此文件,可在控制面板中打开“文件夹选项”,在“查看”选项卡中选择“显示所有文件夹和文件”,并取消“隐藏受保护的系统文件(推荐)”这一项即可。
3.删除注册表中的残留信息:
打开注册表编辑器定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCH0ST.EXE,右键单击选择“安全”-“权限”,在“Everyone”权限设置中选择“完全控制”的权限为允许。然后重新启动 Windows。
至此,“灰鸽子”病毒被清除完毕。