海马开瓶器如何开啤酒:电脑的。。。。

如何修复？耐心读完 http://post.baidu.com/f?kz=114677914

你的系统不是只中了灰鸽子这么简单。。

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\ebfk.exe,C:\WINDOWS\system32\netsend.exe,C:\WINDOWS\system32\inituser.exe
修复为
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
(注意 最后的 , 逗号不可省略 用 sreng )

O4 - 启动项HKLM\\Run: [Rspoolsz] C:\WINDOWS\system32\spoolsz.exe

O4 - 启动项HKLM\\Run: [Rnotpad] C:\WINDOWS\system32\notpad.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll

O23 - NT 服务: COM+ Apliy system - Unknown owner - C:\WINDOWS\exploer.exe

O23 - NT 服务: System Workstation - Unknown owner - C:\WINDOWS\G_Server2006.exe (file missing)
O23 - NT 服务: WinWrCup - MsWinCup - C:\WINDOWS\wincup\wincup.exe

O10的劫持用 lspfix http://post.baidu.com/f?kz=108685283

最近几天，因系统感染“灰鸽子2006”而求助的帖子又多了起来。这个病毒的特点是：1、运行后，病毒进程插入所有当前正在运行的进程中；2、隐藏病毒自身进程；3、隐藏病毒文件；4、将自身注册为系统服务，实现启动加载。因此，染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名，将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而，由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门，没有一定规律可循，因而使不少人中招后难以下手清除病毒。
其实，灰鸽子2006有一个弱点，可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志，O23项可以显示灰鸽子注册的系统服务名（例：WindowsPowerServer）和可执行文件名（例： D:\WINDOWS\spoolvs.exe）。（注：NT系统的HiajckThis日志中才有O23项；WIN98等非NT系统不可能有此项。）
因此，建议因感染灰鸽子2006的发帖求助的网友按以下步骤操作：
1、用HijackThis1.99.1（本帖附件中的一个小工具）扫系统日志，在O23项中寻找灰鸽子2005注册的系统服务名（例：WindowsPowerServer）。如果自己看不懂HijackThis日志，可以将日志贴在帖子中，请别人帮助辨认。
2、确认灰鸽子2006注册的系统服务名后，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名（例： WindowsPowerServer）。
3、重启系统，在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。然后在%windows%下寻找病毒文件名（例： D:\WINDOWS\spoolvs.exe），找到后删除之。需要注意的是：灰鸽子2006生成的病毒文件为一组，3－4个。病毒文件命名有一定规律，即：X.exe、X.dll、X_hook.dll以及XKey.dll，其中“X”指病毒文件名的可变部分。例如，你的系统感染灰鸽子2006后，在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息，那么，这个日志提示：这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”；生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll，可能还有一个spoolvsKey.dll。这一组3－4个病毒文件位于D:\WINDOWS\文件夹中。
附：HijackThis日志中见到的灰鸽子2006注册的系统服务名与病毒文件名（供手工杀毒参考）
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE

O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe

O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe

O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe

O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe

O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe

O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe

O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com

O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe

O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe

O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe

023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe

O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe

O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe

O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe

O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe

O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe

因为每次开机这个文件都会重生，必须从注册表中先删除键值，禁止它开机运行，才能完美删除，如果不会的话，也没有什么问题，Symantec AntiVirus每次开机都杀掉一次，也不会有所影响的

灰鸽子客户端程序
打开－－－运行－－－msconfig－－启动－－－把那个文件对应的启动项的钩子去掉开机就不出现这种问题了

你中了灰鸽子,这是个木马.杀吧.这个木马臭大街了,所有的杀毒软件都没问题.

进DOS实模式,根据杀毒软件给你的路径,把软文件杀了吧