运行iisetb.exe后，卡巴斯基报“灰鸽子”。但怎么看，iisetb.exe也不像鸽子（文件大小才48K）。

运行iisetb.exe后释放下列文件：
c:\windows\winlogon.exe
c:\windows\QQ发信息给手机再也不用给钱了.cmd
c:\windows\system32\QW.exe

注册表改动：

1、在HKCU\Software\Microsoft\Windows\CurrentVersion\Run           
添加：WNILOGON（指向c:\windows\wnilogon.exe）。
2、在HKEY_CLASSES_ROOT\txtfile\shell\open\command
将默认值改为：@="C:\\windows\\system32\\QW.exe \"%1\""
3、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
将"CheckedValue"="1"改为"CheckedValue"="0"
c:\windows\wnilogon.exe时刻监控上述三个注册表键值。
4、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
将"ProxyEnable"=dword:00000000改为"ProxyEnable"=dword:00000001


查杀流程：
1、结束进程c:\windows\winlogon.exe
2、删除木马文件（图）。
3、修复txt文件关联。
4、清理注册表。

引用:

【Flying1889的贴子】c:\windows\QQ发信息给手机再也不用给钱了.cmd 看这文件名... 学习学习啦 ………………

正常%windows%下哪有这样的文件？
这个木马作者真是太菜了点儿——难道是怕别人不知道系统进马了？