子鱼 ' Blog

朋友电脑中了木马，因为在异地，所以有了这次不很方便的查杀。

她用的是卡巴，卡巴也报出了病毒GAAKEY.DLL，显示是鸽子“HUPIGON”。不过进程里没有IE。我记得灰鸽子是往IE里边插的，让她用卡巴查杀了一下内存，汗，好多的病毒。插入了EXPLORER等众多进程中，而且卡巴无法删除。也是，那些进程都用着呢。对方是个MM，电脑小白的MM，远控总是断。费尽九牛二虎之力让她明白了如何进入安全模式。当时我是这么想的，肯定还有GAAHOOK.DLL，GAA.EXE这样的文件在%systemroot%下边。所以叮嘱她进入安全模式以后找这三个东东，然后删除掉。没想到的是她找不到，当时电话联系着。问，你看你C盘下有没有BOOT.INI什么文件，显示颜色有点淡的（就是隐藏文件，之前已经叫她把系统那些保护和隐藏文件都显示了的）？答曰：无。

看来木马用了手段，这些看不到。让她重启回来，QQ上给她“System Repair Engineer”。使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件给我。我一看发现有GADMIN GADMINISTRATOR两个服务。

把System Repair Engineer和KILLBOXE.exe给准备好，然后我把文本发给她，让她保存到桌面，进安全模式进行删除。

文本内容如下：

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

重新启动电脑, 开机检测完后, 不停按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows，这个你应该可以操作了。

运行(双击)System Repair Engineer(就是我给你那个“SREng.exe”），

点启动项目，服务，然后点“Win32服务应用程序”。勾选“隐藏微软服务”，好了，然后要选择病毒服务了。选中病毒服务Gadmin / GAadministrator，选择“删除服务”点“设置”选择“否”


双击打开KillBox.exe，分别删除

C:\WINDOWS\GAadmin

C:\WINDOWS\GAaKey.DLL

c:\windows\gaa.dll(这个找不到或者没有删除都没有关系，等下交给杀毒软件就可以搞定的了。)


删除时勾选“删除前先结束Explorer.EXE进程”，可能会没有了桌面，不过等一会儿就会出来了。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

不过可惜的是MM的桌面一直没出来，汗！我让她强行关机了，然后重启。哇哈哈，再用卡巴扫描清理了一下，世界清静了，MM笑了