有关灰鸽子木马的问题，高手帮忙！

手工清除 ***

近来很多网友反映他们的机器中了一种叫做灰鸽子的木马病毒，这种病毒很是顽劣，在不同杀软上有不同名称比如：Gpigeon、Huigezi、Feutel，在计算机中清除它很是费事，特别是其刚刚开发出的2005，通过截取windows系统的API实现了程序文件隐藏、进程隐藏，服务隐藏三个隐藏，一般杀软在正常模式下根本就找不到其病毒文件，更别提查杀了的事情了，连杀软都很难对付，对用户而言更是头痛了，本文简单介绍了灰鸽子病毒的运行原理，手工检测 *** 、手工清除 *** 、防止感染的注意事项等内容，大部分内容都来自 *** ，由我搜集、整理、加工而成，如果侵犯了你的利益请指出我立刻纠正。

一、灰鸽子病毒简介

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳， *** ，图标等等。

服务端对客户端连接方式有多种，使得处于各种 *** 环境的用户都可能中毒，包括局域网用户（通过 *** 上网）、公网用户和ADSL拨号用户等。

下面介绍服务端：

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

二、灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。

三、灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

（一）、清除灰鸽子的服务

注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。

3、删除整个Game_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

（二）、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。

以上介绍的 *** 适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种 *** 无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏 *** 、防删除手段，手工检测和清除它的难度也会越来越大。

四、防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序

2. 给系统管理员帐户设置足够复杂足够强壮的密码，更好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户

3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用 *** 防火墙软件， *** 防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来 *** 的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用 *** 防火墙来进行一定防护

4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。

. 下载HijackThis扫描系统

下载地址:

http://www.skycn.com/soft/15753.html zww3008汉化版

http://www.merijn.org/files/hijackthis.zip 英文版

2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项

如最近流行的:

O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat

O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe

O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"

3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox

http://yncnc.onlinedown.net/soft/37257.htm

直接把文件的路径复制到 Killbox里删除

通常都是下面这样的文件 "服务名"具体通过HijackThis判断

C:\windows\服务名.dll

C:\windows\服务名.exe

C:\windows\服务名.bat

C:\windows\服务名key.dll

C:\windows\服务名_hook.dll

C:\windows\服务名_hook2.dll

举例说明:

C:\WINDOWS\setemykey.dll

C:\WINDOWS\setemy.dll

C:\WINDOWS\setemy.exe

C:\WINDOWS\setemy_hook.dll

C:\WINDOWS\setemy_hook2.dll

用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了

辐射3一启动就提示内存不能为READ

你好，电脑玩游戏出现，应用程序：“该内存不能为read或written”！偶然出现点【取消】！ 这是你下载的“游戏软件”与电脑“内存”有冲突！（答案原创，原作者：力王历史） 1。游戏带木马或病毒！（杀毒软件，全盘扫描与自定义扫描，重启后，隔离区，彻底删除） 2。游戏与其它游戏有冲突！（同类软件，互不兼容！开始菜单，程序，卸载，只留一个游戏） 3。游戏与其它软件冲突！（如：冲突播放器或某些杀毒软件过于敏感，卸载播放器或杀毒，重装游戏） 4。游戏版本电脑显卡不支持！（下载：驱动人生或驱动精灵，更新显卡驱动） 5。游戏缺少必要的dll文件或游戏补丁！（dll文件，360系统急救箱，dll文件恢复，添加恢复！游戏补丁建议去：官网下载！） 6。游戏带恶评插件！（可以用360安全卫士或金山卫士，或可牛免费杀毒，扫描插件，立即清理） 7。游戏版本，不适合当前系统运行！（开启“兼容模式”或更换游戏版本试试，建议去下载：正规官网游戏！） 8。游戏有bug或错误或带可疑启动木马！（试试：360系统急救箱，系统修复，全选，立即修复！ *** 修复，开始修复！ 再点：开始急救！重启后，点开“文件恢复区”，全选，彻底删除文件）！ 9。再不行，开始菜单，运行 ，输入cmd， 回车，在命令提示符下输入(复制即可) ： for %1 in (%windir%\system32\*.ocx) do regsvr32 /s %1 粘贴，回车，完毕后，再输入： for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1 回车！直到屏幕滚动停止为止，重启电脑！ 10。实在不行，还原系统，重装游戏试试！

请问backdoor病毒对电脑会造成什么影响?

Backdoor.类有很多种病毒,大多数是木马后门类的病毒,用升级了的杀毒软件一般都可以清除.影响最广的当属灰鸽子啦.

关于近来网上大量泛滥的灰鸽子病毒（Huigezi、Gpigeon）介绍和查杀大全，大家学习哈

近来很多网友反映他们的机器中了一种叫做灰鸽子的木马病毒，这种病毒很是顽劣，在不同杀软上有不同名称比如：Gpigeon、Huigezi、Feutel，在计算机中清除它很是费事，特别是其刚刚开发出的2005，通过截取windows系统的API实现了程序文件隐藏、进程隐藏，服务隐藏三个隐藏，一般杀软在正常模式下根本就找不到其病毒文件，更别提查杀了的事情了，连杀软都很难对付，对用户而言更是头痛了，本文简单介绍了灰鸽子病毒的运行原理，手工检测 *** 、手工清除 *** 、防止感染的注意事项等内容，大部分内容都来自 *** ，由我搜集、整理、加工而成，如果侵犯了你的利益请指出我立刻纠正。

一、灰鸽子病毒简介

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳， *** ，图标等等。

服务端对客户端连接方式有多种，使得处于各种 *** 环境的用户都可能中毒，包括局域网用户（通过 *** 上网）、公网用户和ADSL拨号用户等。

下面介绍服务端：

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改洌�H缓蠛诳屠�靡磺邪旆ㄓ掌�没г诵蠫_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

二、灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。

三、灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

（一）、清除灰鸽子的服务

注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。

3、删除整个Game_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

（二）、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。

以上介绍的 *** 适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种 *** 无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏 *** 、防删除手段，手工检测和清除它的难度也会越来越大。

四、防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序

2. 给系统管理员帐户设置足够复杂足够强壮的密码，更好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户

3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用 *** 防火墙软件， *** 防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来 *** 的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用 *** 防火墙来进行一定防护

4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。这些都可以用winxp总管等优化软件关闭。

WinXP 总管 v4.9.3 中文注册版

http://www.366tian.net/soft/data/soft/219.html

5. 不要随便打开或运行陌生、可疑文件和程序，如邮件中的奇怪附件，外挂程序等。

五、灰鸽子（Huigezi、Gpigeon）专用检测清除工具

软件名称： 灰鸽子（Huigezi、Gpigeon）专用检测清除工具

界面语言： 简体中文

软件类型： 国产软件

运行环境： /Win9X/Me/WinNT/2000/XP/2003

授权方式： 免费软件

软件大小： 414KB

软件简介： 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序，运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

下载地址：

http://www.366tian.net/soft/data/soft/875.html

我的电脑中了木马病毒．现在蓝屏了，之前杀不了

其实想要彻底杀毒就应该在安全模式或是在DOS下才能查杀干净.因为灰鸽子是附加在系统进程中的,当你正常启动以后它就隐身在系统的进程中,当然不能彻底查杀干净.给你两个实例自己看看 *** .

1.近来很多网友反映他们的机器中了一种叫做灰鸽子的木马，这种木马很是顽劣，在计算机中清除它很是费事，特别是其刚刚发出的2005，通过截取windows系统的API实现了程序文件隐藏、进程隐藏，服务隐藏三个隐藏，一般杀软在正常模式下根本就找不到其病毒文件，更别提查杀了的事情了，连杀软都很难对付，对用户而言更是头痛了，在网上已经有多家不能自己解决的杀软厂商提供了手工清除 *** ，特别是瑞星提供的 *** 很详细，但是对于初级用户可能仍然有些难度，下面我提供通过自身实验得出的杀软解决办法：

首先我们分析一下灰鸽子2005实现所用的技术，灰鸽子2005服务端在肉机上把自己注册为服务，同时通过dll Hook系统的若干API函数过滤掉自身的文件名、进程名和进程ID以及自身的服务名，即如果木马程序得以运行，通过常规方式是找不到木马文件、木马进程和木马服务的，同时其随机器启动时是以服务的方式启动的，也就是说在用户登录系统之前木马就已经运行在系统中了，用户登录进程序才可以用杀软查杀，但此时杀软连文件都获取不到，怎么有可能查杀呢，唯一可行的是杀软在木马启动之前就能够截获木马程序，并清除掉，这需要杀软的文件监控在木马启动之前就已经启动了，要求是相当高的，国内的杀软就目前来讲只有金山毒霸6.5做到了这一点，现在相信大家都知道下面怎么做了，安装上毒霸6.5，把病毒库升级到最新，然后重启机器，OK，灰鸽子2005就已经被杀除了。

下面我们在总结一下，主要是可能有些用户对上面所讲的不太明白，这没有关系，只要按照安装毒霸6.5，把病毒库升级到最新，然后重启机器的 *** 就完全可行了。

是不是很简单，再也不用那么麻烦了，现在还在为灰鸽子2005头痛的用户或是感觉自己机器有些异常的用户，可以用这种 *** 搞定了。

2.一、灰鸽子病毒简介

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳， *** ，图标等等。

服务端对客户端连接方式有多种，使得处于各种 *** 环境的用户都可能中毒，包括局域网用户（通过 *** 上网）、公网用户和ADSL拨号用户等。

下面介绍服务端：

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

二、灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

[/img]

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

[/img]

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。

三、灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

（一）、清除灰鸽子的服务

注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。

[/img]

3、删除整个Game_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

[/img]

（二）、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。

以上介绍的 *** 适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种 *** 无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏 *** 、防删除手段，手工检测和清除它的难度也会越来越大。

四、防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序

2. 给系统管理员帐户设置足够复杂足够强壮的密码，更好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户

3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用 *** 防火墙软件， *** 防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来 *** 的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用 *** 防火墙来进行一定防护

4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。这些都可以用winxp总管等优化软件关闭。

WinXP 总管 v4.9.3 中文注册版

http://www.366tian.net/soft/data/soft/219.html

5. 不要随便打开或运行陌生、可疑文件和程序，如邮件中的奇怪附件，外挂程序等。

五、灰鸽子（Huigezi、Gpigeon）专用检测清除工具

软件名称： 灰鸽子（Huigezi、Gpigeon）专用检测清除工具

界面语言： 简体中文

软件类型： 国产软件

运行环境： /Win9X/Me/WinNT/2000/XP/2003

授权方式： 免费软件

软件大小： 414KB

软件简介： 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序，运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

我的电脑中了一种病毒（木马），把我的主页改了，我再改也改不回来了。

病毒一般解决方案（原创）

首先建议使用最新的专业杀毒软件和木马专杀工具Ewido 4.0和卡巴斯基等进行处理，如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况：（如果是IE上网浏览的问题，先阅读步骤4 !!）

1.打开windows任务管理器，察看是否有可疑的进程（可以根据杀毒软件的报告或者在网上搜索相关信息来判定）在运行，如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件（主要是你所中止的病毒进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件），然后删去，搞清楚是否是系统文件再动手。

2.有些病毒进程终止不了，提示“拒绝访问”，或者出现“屡禁不止”的情况。根据我的经验，有三种办法供尝试：

A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是：察看控制面板〉管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。再试着中止病毒进程并删除。

B.你可以尝试安全模式下（开机后按F8选安全模式）用杀毒软件处理，不行则再按步骤1和2A试一试。

C.（慎用）使用冰刃等工具，察看病毒进程的线程信息和模块信息，尝试结束线程和解除模块，再试着删除病毒进程文件和相应的模块。（慎用）

3.如果稍微懂得注册表使用的，可以再把相关的注册表键值删除。一般 *** ：开始〉运行，输入regedit，确定，打开注册表编辑器。编辑〉查找，查找目标为病毒进程名，在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒，还应尝试使用步骤2中 *** 。

4.某些病毒会劫持IE浏览器，导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。

5.其他提示：为了更好的操作，请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中，这样做可以帮你更快找到病毒文件。

开始〉运行，输入msconfig，确定，可以打开“系统配置实用程序”。选择“启动”，察看开机时加载的程序，如果在其中发现病毒程序，可以禁止它在开机时加载。不过此法治标不治本，甚至对某些程序来说无效。还是要按步骤1、2办。

6.说了这么多，不过有时还是不能解决。只好请教高人或格式化重做系统了，当然不推荐后者！

病毒一般解决方案（原创） 转载请注明原作者恋曲2010

电脑染上木马病毒有什么现象

电脑中毒一般并不会有明显的状态的，如果有一般就是下面的12种状态：

1.经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行 *** 上的软件时经常死机也许是由于 *** 速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

2.系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

3.文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

4.经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

5.提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个 *** 盘的大小，其实“私人盘”上容量已用完了。

6.软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

7.出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

8.启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我之一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

9.数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在 *** 上的文件，也可能是由于其它用户误删除了。

10.键盘或鼠标无端地锁死：病毒作怪，特别要留意“木马”；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

11.系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行 *** 上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

12.系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

实用电脑小常识

现代社会中，电脑已经成为人们生活和工作不可缺少的工具，但电脑也越来越成为一把“双刃剑”：它在给人们生活和工作带来方便、快捷的同时，也在悄悄地危及人们的健康，引起人的视力衰退、关节损伤、辐射伤害、头部和肩膀疼痛。据调查，常用电脑的人中感到眼睛疲劳的占83％，肩酸腰痛的占63.9％，头痛和食欲不振的则占56.1％和54.4％，还会出现自律神经失调、忧郁症、动脉硬化性精神病等。

专家指出，“电脑病”的产生主要是和人们在电脑面前的坐姿、使用 *** ，以及使用时间长短有关。因此，对长期使用电脑的人来说，做好防护工作非常重要。

一、坐姿正确。在操作电脑时尽可能保持自然的端坐位，将后背坐直，并保持颈部的挺直。两肩自然下垂，上臂贴近身体，手肘弯曲成90度，操作键盘或滑鼠，尽量使手腕保持水平。

二、电脑的摆放高度要合适。将电脑屏幕中心位置安装在与操作者胸部同一水平线上，更好使用可以调节高低的椅子。应有足够的空间伸放双脚，膝盖自然弯曲成90度，并维持双脚着地，不要交叉双脚，以免影响血液循环。

三、与屏幕保持恰当的距离。眼睛与电脑屏幕的距离应在40—50厘米，使双眼平视或轻度向下注视荧光屏，这样可使颈部肌肉轻松，并使眼球暴露于空气中的面积减小到更低。

四、劳逸结合。避免长时间连续操作电脑，使用电脑的时间更好是30分钟就休息一下，可到室外散步，或抬头望天，或向远处眺望，或进行10至20次伸颈和扩胸练习。

五、保持皮肤清洁。电脑荧光屏表面存在着大量静电，其积聚的灰尘可转射到脸部和手的皮肤 *** 处，时间久了，易发生斑疹、色素沉着，严重者甚至会引起皮肤病变等。为减少辐射，应使办公室保持通风干爽，这样能使那些有害物质尽快排出，在电脑桌下放一盆水或是放一盆花草也可减少辐射，勤洗脸也能防止辐射波对皮肤的 *** 。

六、合理膳食。平时多吃些胡萝卜、白菜、豆芽、豆腐、红枣、橘子以及牛奶、鸡蛋、动物肝脏、瘦肉等食物，少食肥甘厚味及辛辣 *** 性食品，以补充人体内维生素A和蛋白质。平时可多饮些茶，茶叶中含有茶多酚等活性物质，有利于吸收与抵抗放射性物质。

最后别忘了，使用电脑后，一定要洗手。键盘上面附着着很多细菌和病毒，也会给人带来伤害。

MP3搜索发现病毒连接

最近发现了利用MP3搜索引擎木马传播的病毒。通过百度、一搜下载MP3以后，电脑都出现了中病毒的症状。一名网友说，她在百度的MP3搜索引擎上将一首MP3格式的歌曲文件下载到电脑后，运行该MP3文件时，电脑浏览器首页被改成了一个从未见过的网址，而鼠标右键也不能用了。

据反病毒专家分析后发现，这些网友通过连接所下载的并不是MP3文件，而是一个病毒文件。瑞星反病毒专家刘刚介绍说，这是一个名叫“首页变种AHK（Trojan.StartPage.ahk）”的木马病毒，感染这个病毒后浏览器会被强行修改，电脑运行变慢甚至崩溃，鼠标右键也出现异常，目前在百度和一搜的MP3搜索引擎中都发现了这个病毒。而通过MP3搜索引擎来传播病毒，这在国内还是首次发现。

由于通过MP3文件传播病毒形式更加隐蔽，专家提供了四条建议：一、计算机一定要安装杀毒软件并注意及时升级；二、上网时应打开杀毒软件的实时监控功能；三、利用杀毒软件的“漏洞扫描”弥补系统漏洞；四、从网上下载电影、音乐文件后应对其进行病毒扫描。

解决系统资源不足问题

之一种思路：

1.清除“剪贴板”

当“剪贴板”中存放的是一幅图画或大段文本时，会占用较多内存。请清除“剪贴板”中的内容，释放它占用的系统资源：单击“开始”，指向“程序”，指向“附件”，指向“系统工具”，单击“剪贴板查看程序”，然后在“编辑”菜单上，单击“删除”命令。

2.重新启动计算机

只退出程序，并不重新启动计算机，程序可能无法将占用的资源归还给系统。请重新启动计算机以释放系统资源。

3.减少自动运行的程序

如果在启动Windows时自动运行的程序太多，那么，即使重新启动计算机，也将没有足够的系统资源用于运行其他程序。设置Windows不启动过多程序：其一，单击“开始→运行”，键入“msconfig”，单击“确定”按钮，单击“启动”选卡，清除不需要自启动的程序前的复选框。其二，单击“开始→运行”，键入“sysedit”，单击“确定”按钮，删除“autoexec.bat”、“win.ini”和“config.sys”文件中不必要的自启动的程序行。然后，重新启动计算机。

4.设置虚拟内存

虚拟内存不足也会造成系统运行错误.可以在“系统属性”对话框中手动配置虚拟内存，把虚拟内存的默认位置转到可用空间大的其他磁盘分区。

5.应用程序存在Bug或毁坏

有些应用程序设计上存在Bug或者已被毁坏，运行时就可能与Windows发生冲突或争夺资源，造成系统资源不足。解决 *** 有二：一是升级问题软件，二是将此软件卸载，改装其他同类软件。

6.内存优化软件

不少的内存优化软件，如RAM Idle和Memo Kit都能够自动清空“剪贴板”、释放被关闭程序未释放的系统资源、对虚拟内存文件(Win386.swp)进行重新组织等，免除手工操作的麻烦，达到自动释放系统资源的目的。

第二种思路：

1.禁用一部分启动项

启动时加载过多的应用程序会使Windows因系统资源严重不足而“蓝屏”，因此我们更好运行“Msconfig”禁用一部分应用程序。或者使用Windows优化大师来代劳。

2.设置足够的虚拟内存

虚拟内存不足也会造成系统多任务运算错误，我们可以通过时常删除一些临时文件和交换文件对此问题加以解决，此外还可以在“系统属性”下手动配置虚拟内存，把虚拟内存的默认位置转到其他逻辑盘下。并设置得大一些。

3.给硬盘保留足够空间

由于Win9X运行时需要用硬盘作虚拟内存，这就要求硬盘必须保留一定的自由空间以保证程序的正常运行。一般而言，更低应保证100MB以上的空间，否则出现“蓝屏”很可能与硬盘剩余空间太小有关。另外，硬盘的碎片太多，也容易导致“蓝屏”的出现。因此，每隔一段时间进行一次碎片整理是必要的。

4.使用内存管理软件

剩下的就是些杂项了，诸如不用activedesktop之类浪费资源的功能。使用内存管理软件，如RAM Idle之类的。养成好习惯，暂时不用的程序就将其关闭。