你中了灰鸽子吗？ (1)

　　你中了灰鸽子《Gray Pigon》,它基于CS模式（客户端服务端）清除有点难。服务端即木马，一般插入Explorer,也有插入IE进程的。杀的时候小心系统崩溃。瑞星有专杀工具。===》http://it.rising.com.cn/service/technology/Ravgpk_Download.htm

　　我也做过一款客户端，做过内存免杀，再加壳，什么杀毒软件都杀不了（我用过瑞星和卡巴---病毒库都更新过了。）。不要迷信杀毒软件！

　　http://hotkey.tengyi.cn

　　最好备份资料重装系统，以后小心！装个还原精灵（如Symantec的一键还原精灵，一般不占用CPU的），或者花点钱买个还原卡，定期还原为干净的系统！

　　应该是灰鸽子，参照以下方法试试：

　　灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件；病毒文件名可变，但有一定规律。目前为止，我见过的病毒文件均在%WinDir%下；病毒文件名可以是以下三组之一：

　　1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll

　　2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll

　　3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll

　　病毒文件名的命名规律是：X.exe，X.dll，X_Hook.dll，其中“X”指文件名的变化部分。在WINDOWS模式下，三个病毒文件均为隐藏文件。在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后，在安全模式下才能看到病毒文件。

　　清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

　　注意：为防止误操作，清除前一定要做好备份。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消 “隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

　　3、经过搜索，我们在Windows目录（不包含子目录）下看是否有一个名为IEXPLORE_Hook.dll（也可能是其他名称，但基本结构都是_hook.dll的）的文件。

　　4、根据灰鸽子原理分析我们知道，如果IEXPLORE_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有IEXPLORE.exe和 IEXPLORE.dll文件。打开Windows目录，应该还有一个用于记录键盘操作的IEXPLOREKey.dll文件。

　　经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除

　　灰鸽子的手工清除

　　一、清除灰鸽子的服务

　　2000／XP系统：

　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“IEXPLORE.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为IEXPLORE_Server）。

　　3、删除整个IEXPLORE_Server项。

　　98／me系统：

　　在9X 下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run项，我们立即看到名为IEXPLORE.exe的一项，将IEXPLORE.exe项删除即可。

　　二、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的IEXPLORE.exe、IEXPLORE.dll、IEXPLORE_Hook.dll以及IEXPLORE.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

　　回答者：blade_jie - 助理 二级 11-14 13:27

　　--------------------------------------------------------------------------------

　　瑞星2005新版杀毒软件可杀。

　　回答者：lijiangjun - 举人 四级 11-14 22:13

　　--------------------------------------------------------------------------------

　　你中的是灰鸽子，麻烦大了。

　　回答者：HowgoO - 试用期 一级 11-16 09:49

　　--------------------------------------------------------------------------------

　　是中了灰鸽子

　　回答者：sdll木雨人 - 助理 二级 11-16 13:16

　　--------------------------------------------------------------------------------

　　进去下载个清除工具：

　　http://www.f1-auto.com/secound/t ... ckdoor_Gpigeon.html

　　回答者：XV流量动力 - 高级魔法师 七级 11-16 13:56

　　--------------------------------------------------------------------------------

　　灰鸽子 Vip 2005 清除器

　　http://www.cert.org.cn/articles/tools/common/2005051322256.shtml

　　BlackHole&灰鸽子后门专杀工具

　　http://www.cert.org.cn/articles/tools/common/2005051322256.shtml

　　如果专杀工具没有发现灰鸽子，请参考下面方法手工删除：

　　按照下面指导,3步就能彻底删除系统里的灰鸽子木马

　　1. 下载HijackThis扫描系统:

　　汉化版

　　http://www.skycn.com/soft/15753.html

　　2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项

　　如最近流行的:

　　O23 - Service: SYSTEM$Content$nbsp;(SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat

　　O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe

　　O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe

　　O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

　　用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"