我中灰鸽子好长时间了，瑞星杀不了，手工也不管用，查看论坛上天天有中此病毒的，怎么就没有一个好的办法呢？帖子重发了几次都不见了，也不知道是怎么管理的，天天升级的瑞星杀不了这个病毒，也不知道在做什么呢？劝大家都不要迷信杀毒软件了，还是重做系统比较好~干净！！！

我的也重了555555555555555555555

就是啊瑞星升到最新的也查不出是毒，更不用说杀了，我的也中了，手工也不好使。谁会杀交我可以吗谢谢好心人了
我QQ271616395

我的也中了，瑞星清除了？但开机是又出现？

来帮我看下日志!
Logfile of HijackThis v1.99.1
Scan saved at 11:07:39, on 2005-8-4
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
D:\Rising\Rfw\rfwsrv.exe
D:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
D:\Rising\Rfw\rfwmain.exe
D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
D:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\mqtgsvc.exe
D:\cdsprite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\explorer.exe
D:\qq\QQ.exe
D:\qq\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\PROGRA~1\RISING\RAV\Rav.exe
D:\PROGRA~1\RISING\RAV\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\阿酷\LOCALS~1\Temp\Rar$EX00.703\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v5.dll
O2 - BHO: Wbho Class - {40E3A34A-3282-41F8-AD2C-051BAB96AD4A} - C:\WINDOWS\System32\Usign.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\BitComet\BitCometBar\BitCometBar0.1.dll (file missing)
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\Kingsoft\FastAIT 2005\IEBand.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [RfwMain] "D:\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [kpcdst] D:\cdsprite.exe
O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\RunOnce: [RavStub] "D:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder\getAllurl.htm
O8 - Extra context menu item: 使用彩信超级自写发送到手机 - http://mms.sina.com.cn/mmsnews.html
O8 - Extra context menu item: 发送图片到手机(&M) - http://sms.sina.com.cn/diy/send.html?from=467
O8 - Extra context menu item: 添加到QQ表情 - D:\qq\AddEmotion.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\BitSpirit\bsurl.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra button: 访问瑞星网站 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E444} - http://www.rising.com.cn (file missing)
O9 - Extra button: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121818529828
O17 - HKLM\System\CCS\Services\Tcpip\..\{995D6F08-2360-4656-993B-1DA693B79B70}: NameServer = 219.146.0.130 219.150.32.132
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - D:\Rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

近来很多网友反映他们的机器中了一种叫做灰鸽子的木马，这种木马很是顽劣，在计算机中清除它很是费事，特别是其刚刚发出的2005，通过截取windows系统的API实现了程序文件隐藏、进程隐藏，服务隐藏三个隐藏，一般杀软在正常模式下根本就找不到其病毒文件，更别提查杀了的事情了，连杀软都很难对付，对用户而言更是头痛了，在网上已经有多家不能自己解决的杀软厂商提供了手工清除方法，特别是瑞星提供的方法很详细，但是对于初级用户可能仍然有些难度，下面我提供通过自身实验得出的杀软解决办法：

　　首先我们分析一下灰鸽子2005实现所用的技术，灰鸽子2005服务端在肉机上把自己注册为服务，同时通过dll Hook系统的若干API函数过滤掉自身的文件名、进程名和进程ID以及自身的服务名，即如果木马程序得以运行，通过常规方式是找不到木马文件、木马进程和木马服务的，同时其随机器启动时是以服务的方式启动的，也就是说在用户登录系统之前木马就已经运行在系统中了，用户登录进程序才可以用杀软查杀，但此时杀软连文件都获取不到，怎么有可能查杀呢，唯一可行的是杀软在木马启动之前就能够截获木马程序，并清除掉，这需要杀软的文件监控在木马启动之前就已经启动了，要求是相当高的，国内的杀软就目前来讲只有金山毒霸6.5做到了这一点，现在相信大家都知道下面怎么做了，安装上毒霸6.5，把病毒库升级到最新，然后重启机器，OK，灰鸽子2005就已经被杀除了。

　　下面我们在总结一下，主要是可能有些用户对上面所讲的不太明白，这没有关系，只要按照安装毒霸6.5，把病毒库升级到最新，然后重启机器的方法就完全可行了。

　　是不是很简单，再也不用那么麻烦了，现在还在为灰鸽子2005头痛的用户或是感觉自己机器有些异常的用户，可以用这种方法搞定了。

baohe斑竹有手工删除“灰鸽子的贴。我下了下来，给你们参考一 下吧：（这是帖子）最近几天，因系统感染“灰鸽子2005”而求助的帖子又多了起来。这个病毒的特点是：1、运行后，病毒进程插入所有当前正在运行的进程中；2、隐藏病毒自身进程；3、隐藏病毒文件；4、将自身注册为系统服务，实现启动加载。因此，染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名，将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而，由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门，没有一定规律可循，因而使不少人中招后难以下手清除病毒。
其实，灰鸽子2005有一个弱点，可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志，O23项可以显示灰鸽子注册的系统服务名（例：WindowsPowerServer）和可执行文件名（例： D:\WINDOWS\spoolvs.exe）。（注：NT系统的HiajckThis日志中才有O23项；WIN98等非NT系统不可能有此项。）
因此，建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作：
1、用HijackThis1.99.1（本帖附件中的一个小工具）扫系统日志，在O23项中寻找灰鸽子2005注册的系统服务名（例：WindowsPowerServer）。如果自己看不懂HijackThis日志，可以将日志贴在帖子中，请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名（例： WindowsPowerServer）。
3、重启系统，在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。然后在%windows%下寻找病毒文件名（例： D:\WINDOWS\spoolvs.exe），找到后删除之。需要注意的是：灰鸽子2005生成的病毒文件为一组，3－4个。病毒文件命名有一定规律，即：X.exe、X.dll、X_hook.dll以及XKey.dll，其中“X”指病毒文件名的可变部分。例如，你的系统感染灰鸽子2005后，在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息，那么，这个日志提示：这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”；生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll，可能还有一个spoolvsKey.dll。这一组3－4个病毒文件位于D:\WINDOWS\文件夹中。
附：HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名（供手工杀毒参考）
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE

O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe

O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe

O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe

O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe

O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe

O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe

O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com

O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe

O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe

O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe

023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe

O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe

O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe

O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe

O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe

O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe


HijackThis1.99.1在下面的附件中。

【回复“wuzhao”的帖子】
无奈``请问你们手工怎么清除的? 有什么步骤是不是没做或者是不懂没敢做``请不要侮蔑高手们辛苦发来的结果``也请不要发出伤害第三方的帖子``杀软各有千秋``谢谢

晕,,,金山的枪手

晕，我也无话可说了啊