提示:在Windows的“服务”窗口中绝大多数服务项目都是Windows自带的,而且这些服务项目都已得到了微软的认证。现在,好多木马都是通过一个自动启动的服务加载的,但这些服务项目大都没有得到微软的认证。今天,给大家推荐一个工具——Autoruns,该工具能够扫描出系统中所有没有得到微软认证的服务,如图5所示,误安装在自己系统中的灰鸽子豁然在目。
图5 灰鸽子的启动项
三、清除灰鸽子
确定了您的电脑被植入了灰鸽子以后,就可以清除它了。打开Windows的“服务”窗口,双击灰鸽子的服务名称打开其属性对话框,在该对话框的“可执行文件路径”文本框中您能看到灰鸽子的文件名和该文件的路径,记下这个文件名和路径,然后在“启动类型”中选择“已禁用”,最后单击“确定”并重新启动电脑。
重新启动电脑以后,灰鸽子已不能自动加载了,接下来,就可以根据上面记下的文件名和路径删除灰鸽子的文件了。需要说明的是,灰鸽子(灰鸽子的安装程序就是服务端程序,安装时,他会把自己复制到事先定义好的目录中,复制完成后,根据自定义的设置,有时还会删除安装程序以便“焚尸灭迹”)的那个文件是“隐藏”属性,删除时您可能找不到。在资源管理器中选择“工具→文件夹选项”打开“文件夹选项”对话框,清除“隐藏受保护的操作系统文件”复选框中的小钩(如图6),最后单击确定,现在,您就可以看到灰鸽子的那个文件了。
图6 选择此项以查看隐藏文件
把灰鸽子的文件删除后,还需要做个收尾工作,也就是彻底删除Windows“服务”窗口中灰鸽子的服务项目。这个项目被注册在注册表中,只要在注册表中删除了相应的主键,就可心从“服务”窗口中彻底删除它。打开注册表编辑器,在主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下您会找到一个以灰鸽子服务名称(不是服务的显示名称)命名的子键,删除该子键,重新启动电脑,至此,整个灰鸽子就从您的电脑中完全铲除了。
