这个是灰鸽子病毒一种,其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。
它可能隐藏于系统还原文件夹中,或者是有驱动保护的,即使设置了“显示所有隐藏文件”也看不到它们。
清除灰鸽子必须要在安全模式下操作,主要有两步:
一、清除灰鸽子的服务
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_server.exe”,点击确定,我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
以上方法如果不行可再用以下比较复杂的方法做,绝对可以彻底清除:
1.选择我的电脑点右键,属性--系统还原--在所有驱动器上关闭系统还原。
2.清空IE临时文件夹。(桌面Internet Explorer--右键属性--删除Cookies-- 删除文件(删除所有脱机文件)--清除历史记录 )
3.桌面左下角“开始”-“运行”输入msconfig,找到启动项目,除了ctfmon以外的,其他暂时都关掉(根据情况定,自己熟悉的可保留)
重启电脑,然后立刻不间断的狂按F8键,弹出菜单后进入安全模式,使用您自己的杀毒软件或者使用以下软件清理。
“超级巡警”木马专杀软件:http://software.anker.org.cn/dl/ast.html
进入下载页面后,可以去下载绿色版本的,不用浪费时间安装,解压就可以用了,是最新版的。
如果找到了病毒文件,但都无法直接删除,您可以找到那个文件的具体地址用工具强制删除即可。
Unlocker 强制删除工具最新版:http://safe-soft.cn/download/13.html
首先是拔下网线,以免病毒升级和变种传输
使用PE系统启动删除所有盘符下的病毒文件如autorun.inf
使用PE远程注册表查看启动文件并删除
启动后使用sreng2删除掉多余的启动项和程序
查找出启动的程序和文件删除如果无法删除请使用xdelbox
从别的电脑下载drweb-cureit到本机查杀,进行C盘查杀
查杀完成请安装drweb专业版升级最新并全盘扫描
------------------------------------
注意请关闭系统还原
删除WINDOWS下的TEMP文件
删除IE临时文件
删除C:\Documents and Settings\用户名\Local Settings下的临时文件
删除不掉的文件请使用xdelbox
我的方法:
用光盘重装系统,安装后不要点击任何盘符,也不急着安装驱动程序,进入CMD命令行方式,执行卡巴斯基的MSI安装文件(原版执行后会产生一个EXE及一个MSI文件的,只用MSI即可,这种文件一般不会染毒),安装后就算没KEY也没问题,使用激活试用版的方法,更新病毒库后查杀全硬盘即可!
楼上都给了那么多下载地址啊,要是自己找的就把分给人家吧,真不容易,不过一行一回车肯定是CtrL+C,V吧。呵呵。首先Trojan.Win32就是木马,不是病毒的名称。其次你这个东西修的话我累死你,建议格盘!我能告诉您怎么整好,也就是360什么的,这样最方便。但是所有可执行文件(.exe)是无法彻底修复的,也就是所有程序用的话就要重装(您要非修,我也可以编个脚本给您,就是修复exe的,不过您要先传给我个样本)。 我邮箱gmail的,用户名是zhuangdexin. 我不建议您修,不需要我的话就把分给ivin吧,他说得不错。
进入安全模式安装一个360,看看能不能启动360和杀毒软件,如果可以就扫描一次,不行就用工具盘在dos下杀毒,深山红叶貌似有。不行就在安全模式下用下面这个工具清除所有盘的autorun病毒(http://e-3yuan.cn/down/yj.rar),然后从装系统,安装杀毒软件,安装完毕不要连网,先扫描一遍硬盘。