爱华网事情:
1. 一台安装有Symantec AntiVirus的WindowsXP被通知有Backdoor.Graybird病毒;
2. 查看相关记录,知Backdoor.Graybird被隔离,但不能清除;
3. 发现病毒的通知,在每次系统启动时可见;
解决:
1. 在“服务”列表里停止Backdoor.Graybird相关的自动启动项;
2. 删除Backdoor.Graybird启动服务所指向的程序;
3. 删除在SymantecAntiVirus隔离区里的Backdoor.Graybird相关文件;
4.关闭系统还原,目的是清除可能在系统还原文件夹中的Backdoor.Graybird;
5. 在注册表中,删除Backdoor.Graybird相关;
链接:
1. 手工清除灰鸽子 Vip 2005
http://www.ttian.net/website/2005/0714/109.html
2. 了解 Windows 服务体系结构
http://www.microsoft.com/technet/prodtechnol/exchange/ZH-CN/Guides/E2k3TechRef/881d8b23-d274-4313-a666-88f80c2cfd92.mspx?mfr=true
3. Overview of the Windows NT Registry
http://www.microsoft.com/technet/archive/ntwrkstn/reskit/23_regov.mspx?mfr=true
图1:隔离区中的G_Server2006.dll;发现时间2006/04/10/19:57:40;
[img]http://cn.pg.photos.yahoo.com/ph/nectar020/detail_hires?.dir=/6ad1&.dnm=ccdbcnb.jpg[/img]
图2:在“服务”列表中的G_Server2006.exe启动项;
[img]http://cn.pg.photos.yahoo.com/ph/nectar020/detail_hires?.dir=/6ad1&.dnm=df84cnb.jpg[/img]
图3:在Windows文件夹上,设置为隐藏的G_Server2006.exe文件;创建时间2006/04/10/19:57:36;
[img]http://cn.pg.photos.yahoo.com/ph/nectar020/detail_hires?.dir=/6ad1&.dnm=6309cnb.jpg[/img]
图4:写入注册表中Server Help启动服务;
[img]http://cn.pg.photos.yahoo.com/ph/nectar020/detail_hires?.dir=/6ad1&.dnm=c167cnb.jpg[/img]
图5:以设备驱动的形式加载Server Help服务;
[img]http://cn.pg.photos.yahoo.com/ph/nectar020/detail_hires?.dir=/6ad1&.dnm=8b98cnb.jpg[/img]
图6:SymantecAntiVirus在系统的还原文件夹中发现Backdoor.Graybird;
[img]http://cn.pg.photos.yahoo.com/ph/nectar020/detail_hires?.dir=/6ad1&.dnm=5fb8cnb.jpg[/img]
