fqian

灰鸽子只所以讨厌，是因为这个病毒会生成2个病毒文件，而主病毒文件直接作为WINDOWS的服务驻在内存中，所以不论你用杀毒软件如何杀，也是没办法杀干净的。即使进入安全模式，也只能杀掉生成的2个病毒文件，无法杀灭主病毒文件。

办法，就是进入注册表，先找到启动项，删除2个病毒启动项。删除该2个文件后，再进入注册表找到该服务，将其删除。

这个服务不难找，因为通常就是叫病毒的名字

龙之介

要在安全模式下，在注册表里删除哪个文件（灰鸽子自动生成复制的）

Neb

如果不终止进程 我想病毒会自动恢复注册表的吧...

莎拉公主

我找到瑞星的制作DOS启动盘了,不知道是不是你们说的那个~~~~~

家里只找到一张3.5存盘,可是做这个启动盘好象要好几张3.5存盘....现在一张已经塞不下那么多文件了

Neb

http://pcpro.com.cn/bbs/viewthread.php?tid...ge=1&sid=idm2q1

楼主去看看这里...不知有没有帮助

莎拉公主

Neb,2005-07-10, 11:24:30
楼主先确认一下你的硬盘是什么分区类型的？
在我的电脑里对着硬盘按右键->属性 看看文件类型是NTFS还是FAT32

做系统维护磁盘碎片整理的时间看到过,是FAT32的类型

Neb

FAT32就方便很多 不过楼主先看看上面那个连接 如果能清除的话那就省事了

fqian

灰鸽子是双重保护的，所以普通的方法不好处理

主进程由于是绑定为服务，你无法直接终止。即使终止了，副进程会自动再把他运行起来

同样的，你进入安全模式，把副进程的文件和启动项删掉，重新启动后，主进程又会生成副进程，再自动加到启动项里运行

所以一定要进入安全模式，安全模式下，副进程不会自动运行。然后进入注册表全面删除病毒服务和启动项。然后清除病毒文件，即可~

Neb

主进程貌似是通过服务被加载的...那样在安全模式下终止服务然后K掉应该就OK了

benz303bb

fqian,2005-07-10, 11:25:01
灰鸽子只所以讨厌，是因为这个病毒会生成2个病毒文件，而主病毒文件直接作为WINDOWS的服务驻在内存中，所以不论你用杀毒软件如何杀，也是没办法杀干净的。即使进入安全模式，也只能杀掉生成的2个病毒文件，无法杀灭主病毒文件。

办法，就是进入注册表，先找到启动项，删除2个病毒启动项。删除该2个文件后，再进入注册表找到该服务，将其删除。

这个服务不难找，因为通常就是叫病毒的名字

好复杂，专杀工具没有做出来吗？

fqian

Neb,2005-07-10, 11:38:04
主进程貌似是通过服务被加载的...那样在安全模式下终止服务然后K掉应该就OK了

非常正确，事实上上面连接也是用类似的办法，不过我也和他一样比较喜欢直接改注册表


另外说一句，请不要过分迷信杀毒软件和专杀工具。自己也要掌握一些基本的技巧。毕竟专杀软件总是走在病毒后面的

Neb

专杀貌似是不行的...因为病毒会帮自己改名字
先确认病毒的名字 然后就像52楼说的进入安全模式把服务终止掉 再删掉文件应该能清掉了

Neb

的确直接修改注册表比找到服务然后终止要方便...不过既然是服务那就从服务里下手..这个比较容易想到-。-

莎拉公主

刚刚我把木马克星全部卸载掉了,第二个清除失败的病毒就是附在木马克星上的

现在又用瑞星杀了一次病毒,只剩下那个IEXPLOREKey.DLL文件了

难道这个就是病毒的主程序?

楼上的两位讲的都好复杂,虽然学校里上过电脑课,但是从来不教这些....

Neb

先进入安全模式 然后搜索"_hook.dll"这个文件 不过看楼主的描述病毒的主文件应该就是IEXPLORE.exe
然后打开注册表 搜索那个文件名 比如"IEXPLORE.exe"
然后把找到的键值整个删掉
然后再把IEXPLORE.exe IEXPLORE_hook.dll IEXPLORE.dll 和IEXPLOREKey.dll全部删光
应该就OK了


终于800贴了