瑞星卡卡安全论坛

今天无事打开HijackThis，还真发现了，单位的电脑还养了只鸽子，好可爱：）
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe，c:\windows\ .exe.
别的还真就没有发现，包括nt服务。庆幸中，删除注册表中的项。删除c;\windows\ .exe（大小为73728字节）。
重启，再扫。出问题了。
nt服务多了如下的项：
O23 - NT 服务: Pigeon_Server (igeonServer) - Unknown owner - C:\WINDOWS\erver.exe。
但是windows任务管理器中没有该进程。按路径找c：\windows也没有发现这个erver.exe文件。当然肯定是去掉文件夹的隐藏和系统受保护的选项后找不到该文件，但是既然没有显示file missing，说明文件存在，纳闷ing。打开IceSword，查看进程发现多出个C:\Program Files\Internet Explorer\IEXPLORE.EXE（红色显示）运行，但是事实上我并没有打开浏览器。挺强！按兵不动，重启，进安全模式。遗憾的是在安全模式下，IceSword不能启动，看不出erver.exe运行了没有。扫描日志，看来没有什么变动。进入c：\windows，哈哈，鸽子尾巴出来了，erver.exe(384kb)清清楚楚的摆在面前，同时还有3个以erver开头的文件(erver.DLL 344kb,erver_Hook.DLL 53kb,erverKey.DLL 30.5kb)。先把这几个文件备份到d盘，什么都不做，重启。正常启动，进入windows后迅速启动windows任务管理器，终于一睹鸽子的容颜，最上边的一个进程赫然就是erver.exe，pid是2028，一闪就消失了。打开IceSword，又看到了红色的IE。用HijackThis扫描，没变化。打开刚才备份鸽子的文件夹，空的（cool）。打开cmd，输入dir/a回车，依然是空的。再次重启，进入安全模式，删除windows下的这四个文件，和注册表中的服务项igeonServer.重启正常进入windows，扫描，IceSword,都看不到任何的异常了。至此，鸽子清除。而备份在d盘的文件也不再是隐藏的了。

以上是个人清除鸽子的全部过程，不过本人不会插入图片，只能描述了，有点遗憾。也可能鸽子种类不同，清除方法不同。这里只作为一个参考与大家分享。