引用:

【月光如水水如天的贴子】靠，这东西实在太可恶了，害得我重新启动了n次计算机。最后还是用灰鸽子的专杀工具搞定了，上面的一位朋友问怎样进入安全模式，告诉你，具体方法是重启电脑的过程中在刚刚黑屏的瞬间快速按住F8键，在出现的菜单中用键盘上面的上下箭头键来选择进入安全模式就可以了。 我把瑞星升级到了最高的版本，2006.1.6更新的版本，还是杀不掉，总报告说重新启动后删除，结果重新启动了n次，还是不行！！暴汉！！手工删除svchost_hook.dll文件失败，用强制删除软件竟然都删不掉，手工结束了所有的svchost.exe进程，结果就重新启动了，启动后还是检测到有灰鸽子病毒，只是，文件名的大小写有变化。对了，上报病毒怎么进行，高手给指点下！谢谢！ ...........................

有些灰鸽子确实比较难清除。

瑞星在线上报病毒样本
http://up.rising.com.cn/webmail/uploadnew.htm

引用:

【chengling的贴子】我种了这个病毒   我不怎么懂电脑 楼主 请问 HijackThis 1.99.0  这个怎么弄啊   怎么下载啊！   我不懂啊   我不知道 怎么把病毒给清了   楼主   帮帮我 好吗？   万分感谢！！！   谢谢了 ...........................

请使用HijackThis 1.99.1扫描log发上来，方便大家分析讨论。

HijackThis 1.99.1 可以到

http://endurer.ys168.com

的tools\系统分析和修复 中下载。

引用:

【chengling的贴子】楼主帮忙看看   一定要帮我哦   我好倒霉 如果被我家人知道电脑种病毒 我家人非修理我不可 我不知道 哪一个是病毒？？？？ 帮帮忙 楼主 你有联系电话或QQ吗？ 因为 我不怎么懂电脑   所以 我想 打电话请教你可以吗？ ...........................

建议:

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O1 - Hosts: 202.103.67.180 auto.search.msn.com

O2 - BHO: (no name) - {0C7C23EF-A848-485B-873C-0ED954731014} - (no file)

O3 - Toolbar: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)

另外, 如果杀毒软件报告有病毒，请把杀毒软件的报告导出贴上来。

引用:

【无法下载的贴子】求助楼主了，我中了灰鸽子，用瑞星在线杀过，重启还在，也下载了ravgpk想杀，但提示没有病毒，用瑞星在线查，病毒还在。 这是病毒名 ...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：

ll_reg
NetMeeting Remote Desktop (RPC) Sharing
NetDDE Services (Network DDE Services)
Transaction Coordinator (TcSrv)
Windows Management NetWork Service Extensions
Windows Management Protocol v.0 (experimental)
_reg


如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

用开始菜单的搜索功能寻找如下文件:

Rundll32.exe （注意：位于C:\WINNT\system32中的这个文件不要处理！）
svchost.exe （注意：位于C:\WINNT\system32中的这个文件不要处理！）
NetManager.exe
C:\WINNT\system32\TcSrv.exe
C:\WINNT\system32\sbhoplin.dll
C:\WINNT\gtwatch.exe (如果这是Mustek扫描仪的文件，则不必处理！)

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: SFP Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINNT\system32\sbhoplin.dll

O4 - HKLM\..\Run: [Gtwatch] C:\WINNT\gtwatch.exe(如果这是Mustek扫描仪的文件，则不必处理)

O4 - HKLM\..\RunServices: [COM++ System] svchost.exe
cab

O23 - Service: ll_reg - Unknown owner - Rundll32.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NetMeeting Remote Desktop (RPC) Sharing - Unknown owner - Rundll32.exe (file missing)
O23 - Service: NetDDE Services (Network DDE Services) - Unknown owner - (no file)
O23 - Service: Transaction Coordinator (TcSrv) - Unknown owner - C:\WINNT\system32\TcSrv.exe
O23 - Service: Windows Management NetWork Service Extensions - Unknown owner - NetManager.exe (file missing)
O23 - Service: Windows Management Protocol v.0 (experimental) - Unknown owner - Rundll32.exe (file missing)
O23 - Service: _reg - Unknown owner - Rundll32.exe (file missing)


清空IE临时文件夹


你可以用“瑞星杀毒助手”把瑞星在线扫描的结果保存为文本文件，再贴上来，以方便分析。

引用:

【月球漫步的贴子】楼主我是刚来报到的，这几天发生这样的事情，先是BT占用CPU资源到100%,从进程里关掉以后，腾讯TM占用PU资源到100%，也从进程里关掉后，网金2占用CPU资源到100%，再在进程里面关掉，explorer占用CPU资源到100%，然后就这样死机了。重起后用瑞星最新版查不出病毒，用木马克星检查，显示C:\WINNT\RUND1132.EXE为无效服务器。我觉得是中了灰鸽子。然后用hijackthis1.99.1扫描 ...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：
72686
windows dll service (dll service)

卸载：NewDotNet

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINNT\rund1132.exe
C:\WINNT\rund1132.dll
C:\WINNT\rund1132_dll.dll
C:\WINNT\rund1132_key.dll
C:\WINNT\rund1132_hook.dll

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O10 - Hijacked Internet access by New.Net

O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\nvappfilter.dll

O23 - NT 服务: 72686 - Unknown owner - \\221.218.94.15\Admin$\eraseme_76762.exe (file missing)

O23 - NT 服务: windows dll service (dll service) - Unknown owner - C:\WINNT\rund1132.exe (file missing)

清空IE临时文件夹

最好通知IP地址为221.218.94.15的电脑拥有者清除Admin$\eraseme_76762.exe这个文件。

引用:

【maliang的贴子】HijackThis_zww汉化版扫描日志 V1.99.1 保存于      15:47:34, 日期 2005-12-30 操作系统：  Windows 2000 SP2 (WinNT 5.00.2195) 浏览器：    Internet Explorer v5.00 SP2 (5.00.2920.0000) ...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

卸载：HbTools

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINNT\system32\uahooqwd.exe
C:\Documents and Settings\All Users\Application Data\BASE64LOADDRAW\DASHSECOND.exe

O4 - HKCU\..\Run: [BoreSafe] C:\DOCUME~1\bpzr\APPLIC~1\BLUEBI~1\drvpoke.exe

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

删除文件夹：
C:\Program Files\HbTools
C:\DOCUME~1\bpzr

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：


O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll

O2 - BHO: (no name) - {5598E2F4-84B4-04EE-E405-B0F8EDFD5016} - C:\DOCUME~1\bpzr\APPLIC~1\SETTIN~1\flaw one.exe

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.2.1\HbtHostIE.dll


O3 - IE工具栏增项: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.2.1\HbtHostIE.dll


O4 - 启动项HKLM\\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.7.2.1\HbtWeatherOnTray.exe

O4 - 启动项HKLM\\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.2.1\HbtOEAddOn.exe

O4 - 启动项HKLM\\Run: [aealjvfe] C:\WINNT\system32\uahooqwd.exe

O4 - 启动项HKLM\\Run: [load draw bind web] C:\Documents and Settings\All Users\Application Data\BASE64LOADDRAW\DASHSECOND.exe

O4 - HKCU\..\Run: [BoreSafe] C:\DOCUME~1\bpzr\APPLIC~1\BLUEBI~1\drvpoke.exe


O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab


清空IE临时文件夹

进行系统更新／打系统补丁．为Win 2000打上SP4，把IE升级到6.0并打上SP1。

引用:

【chengling的贴子】我用 木马客星查出几个可以文件 我不知道是哪一个有病毒   楼主看一下呢 请教我如何清除掉 谢谢   谢 谢  谢谢 C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\AcsignIcon.dll C:\WINDOWS\system32\RavExt.dll C:\WINDOWS\system32\xunleibho_vt.dll C:\WINDOWS\system32\cdnns.dll C:\WINDOWS\system32\msdmo.dll ...........................

C:\WINDOWS\SOUNDMAN.EXE 是 realtek声卡相关程序。

C:\WINDOWS\system32\AcsignIcon.dll 可能是AutoCAD的文件，请检查这个文件的属性加以确认。

C:\WINDOWS\system32\RavExt.dll 可能是瑞星的文件，请检查这个文件的属性加以确认。

C:\WINDOWS\system32\xunleibho_vt.dll 从文件名上看可能是迅雷的文件，不过我没找到相关的信息，请把这个文件作为电子邮件附件发到endurer@163.com

C:\WINDOWS\system32\cdnns.dll 可能是CNNIC中文网址之类的文件

C:\WINDOWS\system32\msdmo.dll 是Windows系统文件，详情可参考：http://www.cn.filename.info/f/msdmo.dll.html

引用:

【[开始]的贴子】 启动的时候瑞星杀毒提示说有Backdoor.GPigeon病毒，我在WINdows目录找到了下面三个文件： comie.exe comie.dll comie_hook.dll （这三个文件我都改名了，只是没删除，等待确认后再删除） 但在 注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中没有病毒服务名，只有一个名称为“AB默认”的“数值未设置”的键名；我继续找了HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中有个Servers目录下有一项名称叫ImagePath，数值是C：/windows/comie.exe的项目，是不是把这个删除？我该怎么做？麻烦看看其它的有没有问题？谢谢了！！ ...........................

你做得很好。

请把

comie.exe
comie.dll
comie_hook.dll

这三个灰鸽子文件作为电子邮件发给我，然后删除。

你中的灰鸽子的系统服务名为：Servers，所以

请把HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中的Servers目录删除。


另外，建议：

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: IDDTInitObj Class - {15DDE989-CD45-4561-BF99-D22C0D5C2B74} - D:\PROGRA~1\sina\UC\UCddt\ddtinit.dll (file missing)

O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD}? - (no file)

O3 - IE工具栏增项: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)

O3 - IE工具栏增项: 新浪点点通 - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - D:\PROGRA~1\sina\UC\UCddt\DDTONG~1.DLL (file missing)

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

清空IE临时文件夹

【回复“飘过网络”的帖子】


以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：O23 - Service: Gray_Mail_Server (GrayMailServer)


卸载：百度搜霸

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINNT\schost.exe
C:\WINNT\schost.dll
C:\WINNT\schost_dll.dll
C:\WINNT\schost_key.dll
C:\WINNT\schost_hook.dll

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。


关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: Ad Class - {812886BE-AB50-4EAE-92CF-9AD63437E3EF} - C:\WINNT\SeAd\SeAd43a0f09a.dll (file missing)
O2 - BHO: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINNT\DOWNLO~1\BaiDuBar.dll
O3 - Toolbar: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINNT\DOWNLO~1\BaiDuBar.dll

O23 - Service: Gray_Mail_Server (GrayMailServer) - Unknown owner - C:\WINNT\schost.exe


清空IE临时文件夹

【回复“虾米宝贝”的帖子】

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用灰鸽子的系统服务

如果使用了系统还原功能, 请先关闭此功能。

设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\G_Server.exe
C:\WINDOWS\G_Server.DLL
C:\WINDOWS\G_Server_Hook.DLL

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

清空IE临时文件夹



如果问题还不能解决，请使用HijackThis扫描log发上来，方便大家讨论解决。