fqian

灰鸽子只所以讨厌，是因为这个病毒会生成2个病毒文件，而主病毒文件直接作为WINDOWS的服务驻在内存中，所以不论你用杀毒软件如何杀，也是没办法杀干净的。即使进入安全模式，也只能杀掉生成的2个病毒文件，无法杀灭主病毒文件。

办法，就是进入注册表，先找到启动项，删除2个病毒启动项。删除该2个文件后，再进入注册表找到该服务，将其删除。

这个服务不难找，因为通常就是叫病毒的名字

fqian

灰鸽子是双重保护的，所以普通的方法不好处理

主进程由于是绑定为服务，你无法直接终止。即使终止了，副进程会自动再把他运行起来

同样的，你进入安全模式，把副进程的文件和启动项删掉，重新启动后，主进程又会生成副进程，再自动加到启动项里运行

所以一定要进入安全模式，安全模式下，副进程不会自动运行。然后进入注册表全面删除病毒服务和启动项。然后清除病毒文件，即可~

fqian

Neb,2005-07-10, 11:38:04
主进程貌似是通过服务被加载的...那样在安全模式下终止服务然后K掉应该就OK了

非常正确，事实上上面连接也是用类似的办法，不过我也和他一样比较喜欢直接改注册表


另外说一句，请不要过分迷信杀毒软件和专杀工具。自己也要掌握一些基本的技巧。毕竟专杀软件总是走在病毒后面的

fqian

照着连接里的做吧，图文并茂，很容易吧

fqian

莎拉公主,2005-07-10, 13:04:26
太奇怪了,前面我进入安全模式杀毒,在注册表里搜索

找到了一个好象是病毒主程序的文件,并把他删除了

删除之后又用瑞星再安全模式下杀了一次病毒,这次结果为0个病毒

我还以为病毒被彻底清除掉了,就重起机器恢复到正常的XP系统

然后第一件事还是杀毒(我可能真的有被害妄想症),这次不对了~~~

居然又扫描出31个病毒,杀掉一些,还有一些是清除失败.....我没想法了


还有前面那篇教程里提到的要删除掉病毒文件夹,是我搜索到的这个吗?

我不敢确定是不是这个,所以没删

杀毒软件是没办法清除灰鸽子的主程序的。

还是我来讲个流程吧

先进入安全模式，杀毒。确认杀除副病毒文件！（一般是2个文件）。然后运行REGEDIT进入注册表

先找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
里面的每个目录项都是一个服务，可以参考病毒的名字或者上面连接里面这样比较奇怪的目录名，确认服务为病毒（看服务的文件就可以知道）。然后删除该服务。
搜索一下这个服务的主文件，这个就是灰鸽子的主病毒文件了。

最后找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这两个项里放的都是启动程序，把其中的病毒启动项删除

另外注意RUNONCE、RUN-和RUNONSERVICE项里的东西

全部完成后，重新启动进入正常模式，再杀一次毒或者再进注册表看看以上项目，如果没有异常则证明病毒已清除


忘记说了，不要随便去删除IEXPLORER，你图里的是正常的东西。

如果这样还是看不懂，就简单点把硬盘拆了，送去朋友家杀毒好了

fqian

灰格子有很多变种，所以病毒文件名不一样是很正常的。
关键还是要找到服务，如果觉得实在很难，就考虑送去朋友家挂成副硬盘，然后再杀吧。　
当然了，格式化再重新装，也很快。


特别强调一点，楼主似乎没有注意过自己是怎么中这个病毒的。 事实上虽然有杀病毒软件实时监控，像灰鸽子这样的病毒还是很容易通过病毒监控的。估计你是上网的时候，从网页上感染的。

上网需小心，谨防意外生

fqian

这个帖子写的没有问题，只是要当心其中推荐的软件HijackThis 1.99.0
这个软件最好不要去装，实在要装也别装中文版。因为目前网络上的很多版本都是带木马的。

而且绝对不是误报，我用过原版的HijackThis 1.99.0，并没有木马。

fqian

XP光盘安装的时候，可以选择把C盘格式化的。更简单点就把C盘给重新分区好了