Backdoor.Gpigeon.5.dq

手工查杀灰鸽子2005的关键是找到病毒注册的系统服务名及病毒文件X.exe所在位置。用HijackThis 1.99.0扫日志即可达到此目的（见附图）。HijackThis 1.99.0的下载地址：http://forum.ikaka.com/download.asp?id=5188960。这步操作在普通WINDOWS模式下即可完成，不一定非在“安全模式”下完成。

确定并记下病毒服务名称后，即可重启系统至安全模式，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM\ CURRENT CONTROLSET\ SERVICES \ 病毒服务名称（如：“Gray Pigeon Server ”），将其删除。

在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。重启系统，手工杀毒即告完成。

灰鸽子2005”注册的系统服务名（即：杀毒时在注册表中应删除的注册表键）五花八门；“灰鸽子2005”在WINDOWS目录下生成的文件名也多种多样。《灰鸽子2005手工查杀方法总结》中列举的灰鸽子服务名和木马文件名只是其中一部分（灰鸽子2005刚开始流行时发现的那几个）。手工查杀灰鸽子，寻找注册表键和木马文件名时，绝不能拘泥于这些。以下是近一阶段收集的HijackThis扫出来的灰鸽子2005的注册表键名（HijackThis日志中“Service:” 与 “-”之间的内容）以及灰鸽子2005的可执行文件名及其所在位置（HijackThis日志中“Unknown -”后面的内容），现罗列如下，供大家参考。
__________________________________________________________________________
O23 - Service: WINL0