昨天没事看看自己机器的网络连接情况(使用netstat -a命令),发现开着tcp 8080端口,正在监听,感觉
不妙,可能中招了。使用命令netstat -a -o得到该进程的pid是1960,用ProcessExplorerNt查看进程情况,
找了半天,却找不到此进程,可能是隐藏了。动用IceSword把它揪了出来,发现该进程的运行程序竟然
是C:/Program Files/Internet Explorer/IEXPLORE.EXE,怎么会是这样,IEXPLORE.EXE感染了病毒?
IEXPLORE.EXE是删除不得的,不知道该怎么办了。上网查查吧,了解到这种现象很像中了“灰鸽子”病毒,网上
说它不但开着tcp 8080端口,而且还开这tcp 1080端口,再看看我的机器,的确是这样,看来就是“灰鸽子”了。
下了几个“灰鸽子”专杀工具准备杀之,可是什么也没查到,哎,现在的杀毒软件...... 还是手动删除吧,
IceSword有个“监视进线程创建”功能,用它我们可以查到一个进程的源头。利用这个功能我查到这个
“IEXPLORE.EXE”进程是由一个叫“windowss.exe”的进程创建的,而这个“windowss.exe”又是
由“services.exe”创建的,可知“灰鸽子”是注册为服务来启动的了。ok,有两种办法了,一个是找
到windowss.exe,删之。另一个是找到相应的服务,停之。打开文件搜索查找“windowss.exe”,找了半天
没找到(隐藏文件、文件夹都显示了)。使用第二种办法找服务吧,想当然的以为该服务应该是显示“已启动”,
于是用IceSword查看服务,用服务“当前状态”排序,对“已启动”的服务挨个检查,折腾了半天没找到这个
服务。哎,累了,歇歇吧,出去抽了一支烟,想了一想,哦,既然是windowss.exe创建了IEXPLORE.EXE,
有可能windowss.exe完成任务后就自动停止了,所以应该看看“已停止”的服务。打开IceSword查看服务,
哈哈,果然不出我所料,有一个telnets服务,服务的模块路径正是c:/windows/windowss.exe,真是狡猾。
打开c:/windows文件夹,发现了windowss.exe,windowss.dll,windowsskey.dll等几个文件,删之。
把telnets服务禁止。重新启动机器,一切ok。