当老婆扯开嗓门悠然自得地在聊天室嚎歌，当老婆欢天喜地东南西北谈笑风生的时候，电脑运行速度突然降低，有时被迫中止，尤如在一堆燃烧极旺的火堆里浇注冰水，热度骤然降至冰点。她的电脑中了Rootkit木马。

　　我也常常被她干扰，刚刚计划着做点事便被叫去杀毒，或者游戏正酣，正使出浑身解数与对手斗智斗勇搏杀的当口，被她紧急叫停。我们都被这个可恶的病毒折磨得心力憔悴。

　　两台电脑装的都是正版瑞星（呵呵，没有花钱，盗来的序列号），都能及时升级，可以杀死，但重启后仍然有毒，断不了根。今日升级到２００７版，一切还是原样。

　　迷信杀毒软件看来是不行的。我相信任何毒都能手工清除。现将清除方法记录如下，有中此毒的朋友可以依计行事。

　　１.通过瑞星，知道有两个文件感染此毒，一是windows\system32\drivers下的navyet10.sys,一是windows\system32\下的navyet10.dll。

　　２.经查资料得知，此病毒是有规律随机命名的，由6个英文字母和2个阿拉伯数字组成，如老婆的电脑中病毒被命名为“navyet10”，因此，“navyet10.sys”和“navyet10.dll”这对文件肯定是病毒了，删除它！

　　３.运行瑞星，杀了它！可是杀不死。手工杀！（１）点击任意文件夹→工具→文件夹选项→查看→打开隐藏受保护的操作系统文件（此项是为了删除系统恢复点中的病毒，也可以右键点“我的电脑”图标→属性→系统还原→关闭所有驱动器上的系统还原）→显示所有文件和文件夹→确定。（２）找到windows\system32\drivers下的navyet10.sys文件，删除！如果删除不了，先下载UNLOCK，强制删除。（３）找到windows\system32\下的navyet10.dll文件，删除！（４）删除系统盘下的“System Volume Information”文件夹中的所有文件。（５）清空回收站。

　　4.打开注册表，搜索navyet10，在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001、\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002和\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\下会找到有关navyet10的“项”，全部删除它们（删除时会提示出错，此时应提升“权限”，之后就可以删了） 。

　　5.重启进安全模式，重复操作第４步。

　　启动后，再没有查到这个可恨的毒了。


　　我的这台旧电脑中的却是另外一个毒，叫做“Backdoor.Gpigeon.uql”，是灰鸽子病毒。这个病毒很难缠，瑞星查杀感染的是IEXPLORE.EXE文件，而这个文件是必须用的，按上述（一）的方法删了的话，系统肯定运行不了。用尽所有的杀毒软件，如灰鸽子专杀、卡巴斯基（我居然把正版瑞星卸载，装上可用半年的卡巴斯基，同样杀不掉，还老是自动重启，害得我又恢复到含有病毒的系统），均杀不掉。这个病毒最大特点就是便电脑运行速度逐渐减慢，不到几分钟让电脑CPU占有率达１００％，死机！

　　在没有找到杀毒方法前，我一直用开机扫描内存的方法，瑞星杀了它，可以保持本次上机不发作。但每次开机扫描便有这个病毒，看着不爽，在总结了杀ROOTKIT病毒经验的基础上，决心杀掉这个病毒。

　　上网找资料。说用“HijackThis”软件可以发现运行的病毒。下载了一个中文版，试着运行，日记显示：

Logfile of HijackThis v1.99.1
Scan saved at 17:52:35, on 2006-12-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\GreenBrowser\GreenBrowser.exe
E:\软件\电脑维护\HijackThis.exe

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [StormCodec_Helper] "e:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163002812921
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: msdtc.exe - Unknown owner - C:\WINDOWS\msdtc.exe
O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: svoset.exe - Unknown owner - C:\WINDOWS\svoset.exe

　　在023里多出了两个未知服务项（Unknown owner）：“C:\WINDOWS\msdtc.exe”和“C:\WINDOWS\svoset.exe”，证明这两个文件是病毒了。于是按（一）中的方法删了，我没有找到相应的DLL文件，也许是杀毒软件杀了它，如果没有运行杀毒软件，肯定有相关的DLL文件，也要删了它。

　　打开注册表编辑器，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，找到含到这两个文件名之一的所有服务项，删了它！

　　好了，搞定了！感谢这个休息日，也要感谢老婆不在家。