关于查杀“灰鸽子2005”的一点建议

最近几天，因系统感染“灰鸽子2005”而求助的帖子又多了起来。这个病毒的特点是：1、运行后，病毒进程插入所有当前正在运行的进程中；2、隐藏病毒自身进程；3、隐藏病毒文件；4、将自身注册为系统服务，实现启动加载。因此，染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名，将其从注册表HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES分支中删除。然而，由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门，没有一定规律可循，因而使不少人中招后难以下手清除病毒。
其实，灰鸽子2005有一个弱点，可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志，O23项可以显示灰鸽子注册的系统服务名（例：WindowsPowerServer）和可执行文件名（例： D:WINDOWSspoolvs.exe）。（注：NT系统的HiajckThis日志中才有O23项；WIN98等非NT系统不可能有此项。）
因此，建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作：
1、用HijackThis1.99.1（本帖附件中的一个小工具）扫系统日志，在O23项中寻找灰鸽子2005注册的系统服务名（例：WindowsPowerServer）。如果自己看不懂HijackThis日志，可以将日志贴在帖子中，请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES分支，删除左栏中的病毒服务名（例： WindowsPowerServer）。
3、重启系统，在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。然后在%windows%下寻找病毒文件名（例： D:WINDOWSspoolvs.exe），找到后删除之。需要注意的是：灰鸽子2005生成的病毒文件为一组，3－4个。病毒文件命名有一定规律，即：X.exe、X.dll、X_hook.dll以及XKey.dll，其中“X”指病毒文件名的可变部分。例如，你的系统感染灰鸽子2005后，在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:WINDOWSspoolvs.exe”这样的信息，那么，这个日志提示：这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”；生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll，可能还有一个spoolvsKey.dll。这一组3－4个病毒文件位于D:WINDOWS文件夹中。