提问： 用优化大师检测到有可疑活动，可是在所有文件中没有发现Hook.DLL,SYSTEM.EXE,SYSTEM.DLL；包括隐藏文件。但是网络连接连图标都不见了，控制面板中的用户帐户无法进入；
  hijackthis扫描后无法修复018项，再次扫描后还会出现。kaka助手的日志和Hijackthis有很多不同的地方，究竟以哪个为准？
  是中了灰鸽子变种呢，还是有文件丢失？
拜谢！

这是优化大师扫描的
端口号  协议 远程主机  远程端口 状态              可疑活动
      123: UDP 0.0.0.0          0 监听

      123: UDP 0.0.0.0          0 监听

      135: TCP 0.0.0.0          0 监听

      137: UDP 0.0.0.0          0 监听

      138: UDP 0.0.0.0          0 监听

      139: TCP 0.0.0.0          0 监听

      500: UDP 0.0.0.0          0 监听

      1025: TCP 0.0.0.0          0 监听

      1026: TCP 0.0.0.0          0 监听

      1027: UDP 0.0.0.0          0 监听 Trojan.Huigezi.e

      1029: UDP 0.0.0.0          0 监听 SubSARI

      1047: UDP 0.0.0.0          0 监听

      1053: UDP 0.0.0.0          0 监听

      1104: TCP 218.75.5.227        8080 时钟等待

      4000: UDP 0.0.0.0          0 监听

      6000: UDP 0.0.0.0          0 监听

      6001: UDP 0.0.0.0          0 监听

      6002: UDP 0.0.0.0          0 监听

      6003: UDP 0.0.0.0          0 监听

      6004: UDP 0.0.0.0          0 监听

      6005: UDP 0.0.0.0          0 监听

      6059: TCP 0.0.0.0          0 监听

HijackThis_815汉化版扫描日志 V1.99.1
保存于      16:07:01, 日期 2006-1-7
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
F:\ruixing\Rising\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
F:\ruixing\Rising\Rising\Rav\Ravmond.exe
f:\program files\rising\rfw\rfwsrv.exe
F:\ruixing\Rising\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
f:\program files\rising\rfw\RfwMain.exe
F:\ruixing\Rising\Rising\Rav\RavTask.exe
F:\ruixing\Rising\Rising\Rav\Ravmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\conime.exe
F:\电脑清理\hijackthis\HijackThis1991汉化版\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [RavTask] "F:\ruixing\Rising\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "F:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\什么都有\QQ2005\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\什么都有\QQ2005\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\什么都有\QQ2005\qq\SendMMS.htm
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - f:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - F:\ruixing\Rising\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - F:\ruixing\Rising\Rising\Rav\Ravmond.exe


这是卡卡助手的日志

O1 - Hosts: 127.0.0.1 localhost
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Run: [RavTask] "F:\ruixing\Rising\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "F:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\什么都有\QQ2005\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\什么都有\QQ2005\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\什么都有\QQ2005\qq\SendMMS.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Microsoft MessangerServer (Microsoft MessangerServer) -  - C:\WINDOWS\Microsoft MessangerServer.exe
O23 - Service: nServer (nServer) -  - C:\WINDOWS\sgester.bat
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - f:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "F:\ruixing\Rising\Rising\Rav\CCenter.exe"
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - "F:\ruixing\Rising\Rising\Rav\Ravmond.exe"

我发现你的服务里有个nserver这个是什么？
最好杀毒或查毒看看。

用瑞星杀毒了没有任何发现，还用了专杀工具也没有什么东西……

安全模式下面查过一次吧  保证有

O23 - Service: Microsoft MessangerServer (Microsoft MessangerServer) - - C:\WINDOWS\Microsoft MessangerServer.exe
此项很像灰鸽子

O23 - Service: nServer (nServer) - - C:\WINDOWS\sgester.bat
此项很可疑

请将这两个文件打包发送至fangrensong@yahoo.com.cn

抱歉版主,还没来得及打包就已经被迫重装系统了。这次中的的确是灰鸽子变种，在WINDOWS中发现了一个文件名是“4”的应用程序无法清除。这次中毒的主要症状是无法进入安全模式、网络连接图标丢失、无法进入控制面板的用户帐户、无法进行网上邻居的操作、鼠标右键无法选择文件打开方式、不能从我的电脑“添加\删除”界面删除程序、无法打开网页链接、QQ对话框无法正常关闭。最主要的是瑞星杀毒和防火墙都没有报警和查杀，灰鸽子专杀工具也检测不出病毒 。为了保险起见就重装了系统，目前已经正常。回忆了一下应该是收的一个邮件的附件捆绑的，发送人也不知道自己的文件中有病毒。我的瑞星防火墙和杀毒软件每天都有升级可还是没能挡住灰鸽子变种，有什么办法可以有效防范呢？

病毒完全可以修复一下这是我的一点简介:
1. 将自己拷贝到系统目录，命名为SVCH0ST.EXE（其中“O”是数字），此病毒文件可以删除。
2. 释放脚本文件DELETEME.BAT和WINSOCKS.DLL文件，可以搜索这两个文件，找到后删除。
3. 病毒会修改注册表，创建和修改下列键值：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\RAVMOND ，
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices\RAVMOND，
HKCU\Software\Microsoft\Windows\CurrentVersion
\Run\RAVMOND，
HKCR\exefile\shell\open\command\，

可以用REGEDIT等注册表编辑工具手动删除或还原这些键值。

卡卡日志里的O23 - Service: nServer (nServer) - - C:\WINDOWS\sgester.bat是可疑.但在HJ日志日志里怎么没有呢?我请楼主HJ日志是否贴全了?