反病毒中心接受北京天通苑业主举报，怀疑一名为“天通苑2007业主及会员联络表”RAR压缩包内可能有病毒。据该业主反映，他是在收到一封邮件附件名为“天通苑2007业主及会员联络表”的邮件时发现问题，本来以为是大家为了有业主为了方便邻里联络方便而整理的，可是解压后他感觉电脑有异常。 yPn1[-  
反病毒工程师及时对可疑文件进行了分析，确定该名为“天通苑2007业主及会员联络表”的RAR压缩包内含有灰鸽子病毒，一旦解压即可释放一个灰鸽子新变种。文件解压缩后是一个图标为WORD文档而文件后缀为.exe的可执行文件，双击后会自动打开天通苑社区网站，接着病毒程序自动运行，同时打开一个内容为乱码的word文档。 2s(WL^:$  
反病毒专家介绍，病毒运行后，在注册表下生成以下病毒键值 ;EB3DAHG  
8]? K#P,  
　　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows-usp mYwiICp  
m u tkU@]_  
　　 同时在系统目录C:\Windows下名为G_windows的病毒文件，属性为隐藏。 /tAU*5!6  
pg.-52m  
　　 灰鸽子病毒具有极强的隐蔽性，具备远程监控、盗号等功能，用户中毒后很有可能在不知不觉中被监视，而银行账号和网游账号都有可能被盗，给用户带来极大的损失。 Z @;Pg:&J  
L.bx"6]  
　　 专家提醒广大天通苑业主，不要随意点击标题为“天通苑2007业主及会员联络表”的邮件，针对该病毒，江民杀毒软件已经及时升级病毒库，怀疑感染病毒的用户请及时升级对电脑进行全盘查杀，上网时务必打开杀毒软件的“系统监测”及“网页监控”功能。此外，江民反病毒专家还提供了五步手工查杀灰鸽子新变种的方法： dX<(D V  
T<rfwTl"  
　　 1、启动注册表编辑器：开始菜单->运行->regedit |E(Ed67$n3  
}]ib/q/w  
　　2、在左边树形列表中找到 8XV){7{  
k fpO]  
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows-usp x^Iviw=Y  
n$_m[91  
　　如果找到，删除这个windows-usp项；如果不存在上面的注册表键，说明没有感染该灰鸽子变种。 XtUPC (ch  
aBxq*kU6b  
　　3、删除注册表项后，重新启动计算机 ]>_l0; e  
5,U ~-z$  
　　4、重启后打开我的电脑，选择菜单：工具->文件夹选项->查看，在高级设置里面，选择“显示所有文件和文件夹”，并去掉“隐藏受保护的操作系统文件”前面的勾 ~zc92}4N8  
/ihR' $0j  
　　5、来到C:\Windows目录, 找到并删除名称为G_windows的文件。至此，该病毒被完全清除

这是因为用户的麻痹或者是没有了解一些基本的计算机知识而造成的 z
-;1 #  
Yto [1I  
WINRAR 自解压的都为EXE 后缀,而用WINRAR直接打开时能够看到代码

无聊中,再来顶顶

有用吗？这种方法貌似不好使 QbI_)k  
我们知道鸽子是靠服务来启动的 (mhNAh/[/  
最简单就是关掉鸽子的服务！ 1)ta zc)M  
9DMKqG{w<  
运行—>Msconfig—>服务 V9x#Q;
G  
点击下面的   "隐藏所有Microsoft服务" ()LO^v`.3  
勾掉可疑服务   =p.FOid  
重起机器后鸽子就不会运行了 Ed:4|>{  
l{QBm
 
q s]FH  
我记得有个Word 0day 工具。。可以在doc文件上绑马。

我也来转转，嘎嘎