狡猾的“灰鸽子”

     昨天没事看看自己机器的网络连接情况（使用netstat -a命令），发现开着tcp 8080端口，正在监听，感觉

不妙，可能中招了。使用命令netstat -a -o得到该进程的pid是1960，用ProcessExplorerNt查看进程情况，

找了半天，却找不到此进程，可能是隐藏了。动用IceSword把它揪了出来，发现该进程的运行程序竟然

是C:/Program Files/Internet Explorer/IEXPLORE.EXE，怎么会是这样，IEXPLORE.EXE感染了病毒？

IEXPLORE.EXE是删除不得的，不知道该怎么办了。上网查查吧，了解到这种现象很像中了“灰鸽子”病毒，网上

说它不但开着tcp 8080端口，而且还开这tcp 1080端口，再看看我的机器，的确是这样，看来就是“灰鸽子”了。

下了几个“灰鸽子”专杀工具准备杀之，可是什么也没查到，哎，现在的杀毒软件......      还是手动删除吧，

IceSword有个“监视进线程创建”功能，用它我们可以查到一个进程的源头。利用这个功能我查到这个

“IEXPLORE.EXE”进程是由一个叫“windowss.exe”的进程创建的，而这个“windowss.exe”又是

由“services.exe”创建的，可知“灰鸽子”是注册为服务来启动的了。ok，有两种办法了，一个是找

到windowss.exe，删之。另一个是找到相应的服务，停之。打开文件搜索查找“windowss.exe”，找了半天

没找到（隐藏文件、文件夹都显示了）。使用第二种办法找服务吧，想当然的以为该服务应该是显示“已启动”，

于是用IceSword查看服务，用服务“当前状态”排序，对“已启动”的服务挨个检查，折腾了半天没找到这个

服务。哎，累了，歇歇吧，出去抽了一支烟，想了一想，哦，既然是windowss.exe创建了IEXPLORE.EXE，

有可能windowss.exe完成任务后就自动停止了，所以应该看看“已停止”的服务。打开IceSword查看服务，

哈哈，果然不出我所料，有一个telnets服务，服务的模块路径正是c:/windows/windowss.exe，真是狡猾。

打开c:/windows文件夹，发现了windowss.exe，windowss.dll，windowsskey.dll等几个文件，删之。

把telnets服务禁止。重新启动机器，一切ok。