IceSword识别隐秘木马
以IceSword杀死“灰鸽子2005”为例,使用IceSword可以使“灰鸽子2005”原形毕露。
操作方法
- 01
中了这个木马后,断网并关闭I E浏览器,然后打开IceSword,点击IceSwod“查看”栏下的“进程”按钮,可以发现红色字体标识的被灰鸽子隐藏的“IE浏览器进程”。右击此进程,结束它。
- 02
点击“文件”栏下的系统盘(假设你的系统盘是C盘),再点击系统盘中的Windows文件夹,可以看到灰鸽子2005创建的所有文件,选中G_server.exe和G_server.dll后删除。 重启系统到普通Windows模式,进入C:\windows\目录,即可找到并删除剩下的那个G_server_hook.dll了。
- 03
打开I c e S w o r d,点击“查看”栏下的“服务”, 可以发现红色字体标出的灰鸽子添加的系统服务名。打开 注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\下,删除名为“上网助手”的注册表键。“上网助手”只是灰鸽子2005样本生成的系统服务名,这个服务名是可变的。具体的要看IceSword提示的内容。至此,灰鸽子2005已经被彻底杀死。
赞 (0)