我使用的是WINDOWSXP操作系统,同时安装有Symantec AntiVirus杀毒软件,杀毒软件启用Live更新并设置为实时监控。
  今天吃完晚餐,开机进入系统后Symantec AntiVirus就跳出发现威胁来自“Backdoor.Graybird”,并且提示一个文件“c:\windows\G_Server2006key.dll”删除成功。心中在忧虑的同时也很欣慰,Symantec AntiVirus杀毒软件还真不错,***就如此轻松被干掉了。现在可不要觉得这个***就这样彻底地从硬盘上清除出去了,杀毒软件只是在***启动是拦截,而***程序包括它的其它相应文件还存在硬盘中,此时就要我们自己亲自动手进行手工清除了(也可以下载一些相应的***专杀工具来进行,但笔者觉得如果能知道如何手工清除***,以后遇到新的***又没有专杀工具时就不会心慌了,这也能提高我们的系统管理水平。)。
  首先,要把杀毒软件所提示的文件名用笔记下来,按“ctrl+alt+del”打开任务管理器,查看“进程”项中是否有可疑的进程,这次由于木在启动时就被删除了,所以在任务管理器中没有发现可疑进程。
  打开“搜索”,输入“*server”,(有时因为不能太确定***其它文件名称,可以找它的主要特点进行模糊查找,找到相似的再查看它的建立日期来确定。),选择在所有分区中查找,单击“高级选项”,允许查找隐藏文件,然后单击“开始搜索”,不一会儿就发现两个可疑的文件分别是“c:\windows\G_Server2006.exe”和“c:\windows\G_Server2006.dll”,文件名和上面杀毒软件删除的文件的文件名非常相似,查看其属性,建立日期都是2006年4月28日,用笔记下这两个文件名以作进一步查找之用,删除这两个文件。
  打开“运行”对话框,在其中输入“msconfig”,在出现的对话框中单击“启动”,查看此页中是否有相应的自启动项,这次却没有。重新在“运行”框中输入“regedit”时入注册表编辑器,打开注册表编辑器中的“编辑”菜单,单击“查找”,在“查找”对话框中输入“G_Server2006.exe”进行查找,发现在以下两个注册项:
  “HKLM\SYSTEM\controlset002\Services\GrayPigeonServer”和“HKLM\SYSTEM\controlset003\Services\GrayPigeonServer”,而这两个注册项对应的是系统服务,看来此***是把自己注册成了一个系统服务。立即打开“控制面板”-“管理工具”-“服务”,在服务项中查找发现一个叫“GrayPigeonServer”的本地服务,这名称跟找到的注册表中的注册项完全相同,查看它的属性发现它的可执行路径为“c:\windows\G_Server2006.exe”,就是它了。立即把注册表中的哪两个注册项删除,在打开“服务”查看时已没有了“GrayPigeonServer”的服务。
  重新启动系统,已没有了相应的提示,重新进行查找相应的文件也没有发现,到这里此***就被完全清除出硬盘了。
  上网查了一下“G_Server2006.exe”,发现是叫灰鸽子的***,现在正闹得很凶,因此写出来希望对有此朋友有帮助。