新版灰鸽子（svchoot.exe）的手工查杀

 【使用的工具】：SSM 2.0.5.565（现在有更高的版本）；IceSword 1.10。
【查杀流程】：

1、在SSM的“规则”面板中添加三条规则（见图1）。

2、将SSM设置为启动加载（见图2）。

3、重启系统。

4、用IceSword找到并删除下列文件：
C:\WINDOWS\svchoot.exe
C:\WINDOWS\svchoot.dll
C:\WINDOWS\svchootKey.dll
C:\WINDOWS\svcpack.log

5、清理注册表：

（1）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：Windows Instaler（指向：C:\WINDOWS\svchoot.exe）
（2）展开：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除：Windows Instaler（指向：C:\WINDOWS\svchoot.exe）

【评论】：鸽子的作者真是“处心积虑”！想尽一切办法躲避查杀。这个鸽子，目前（2006年4月24日）卡巴的标准病毒库还不报。HijackThis、autoruns等工具也扫不到其服务项，这点是新版鸽子比“灰鸽子2005VIP”NB的地方。
但它还是没逃过IceSword和SSM。
我们等待鸽子的作者再出新花样。

【小结】：这类“鸽子”，虽然隐蔽，但还是可以用IceSword或SSM这样的工具找到手工查杀的切入点。
IceSword：可以发现异常的IE进程（没开IE而可以看到iexplore.exe）
SSM：鸽子运行后，SSM报警N次。多是提示IE企图改写内存的内容。
据此，可以通过IceSword查看iexplore.exe模块。进而发现鸽子的dll及其路径。
再用IceSword查找鸽子的.exe文件。
至此，已经锁定手工查杀目标。接下来要做的，就是本帖叙述的“查杀流程”。
以上是查杀这类鸽子及其它隐蔽性较高木马的基本思路。