手工清除灰鸽子新变种（第4版）

2006-03-28　第4版　补充了Kaspersky的反应
2006-03-23　第3版　做了一些总结
2006-03-22　第2版　补充了瑞星为灰鸽子的DLL文件定义的病毒名
大家可以留言　或者　到瑞星卡卡社区反病毒论坛的贴：【原创】手工查杀灰鸽子新变种Backdoor.Gpigeon.wzo　中进行讨论。

2006-03-21　第1版

这个灰鸽子新变种是在

清除QQ尾巴yuuikkj.EXE

的过程中发现的。

当时用IceSword观察QQ.EXE调用的模块时发现了一个d:\windows\svchosts.exe，看文件名比较可疑。

由于IceSword远程操作时反应比较慢，所以这里用ProcView导出的进程模块列表来说明：

*您正在使用的是Windows XP (5.1.2600 Service Pack 2)
2006-3-20 22:58:23 进程列表
[System Process]
   F:\virus\procview\procview.exe
   D:\WINDOWS\system32\ntdll.dll
   D:\WINDOWS\system32\kernel32.dll
   ...（略去无关的模块）
   D:\Program Files\Tencent\qq\DShared.dll
   D:\WINDOWS\svchostsKey.DLL
   ...（略去无关的模块）

但设置系统显示所有文件和文件夹后，用WinRAR还是D:\WINDOWS看不到svchostsKey.DLL这个文件，只发现了svchostsKey.log，这个可能是个记录用户在键盘上的按键的文件。

用IceSowrd查看，在D:\WINDOWS中发现了 

 svchosts.DLL
svchosts.exe
svchostsKey.DLL 

 三个可疑文件。

{*

后来测试
svchosts.DLL瑞星报为Backdoor.Gpigeon.wnw

svchostsKey.DLL瑞星报为Backdoor.Gpigeon.wnv

[1] [2] 下一页