通过PE10。2,发现了一个名为“watchclient.exe”的进程,此前的杀毒过程中我没考虑这个进程,因为这个进程对应了系统服务中一个名为“VRVWATCHSERVER”的服务。本机中还有 vrvedp_m.exe、vrvsafec.exe、vrvrf-c.exe等进程,当时想当然的把vrvwatchserver服务和后3个进程视作同一个软件;而后2个进程是
北信源 公司的一款内网监控软件驻留内存的程序。
经网上搜索,得知watchclient.exe文件可能是灰鸽子的服务端。
需要注意的是,vrvwatchserver服务无法在正常模式下手动停止,我是用pe10。2停止的。然后使用killbox删除watchclient.exe,最后删除HK_LOCAL_MACHINE_MACHINE\SYSTEM\CURRENT CONTROLSET\SERVICES下残留的“vrvwatchserver服务”项。
另外,在c盘还有个隐藏文件为"vrvreg.log",用记事本打开后,发现为灰鸽子的运行日志,记载了watchclient.exe运行后自动从某处下载2个文件(记不清楚了),使用killbox删除。
重起后,机器测试正常。
另一种方法:
安装纯Dos启动,在dos下进入c:\windowns,用del 文件名删除,命令如下
del watchclient.exe
del vrvedp_m.exe
del vrvsafec.exe
del vrvrf-c.exe