出处：网络　　作者：佚名　　责任编辑：永恒　　2007-03-21

　　2006十大病毒手工查杀方法

　　一、“灰鸽子”

　　病毒名称：Backdoor/Huigezi

　　病毒中文名：“灰鸽子”

　　病毒类型：后门

　　影响平台：Win9X/ME/NT/2000/XP

　　描述：Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。

　　手工清除方法：

　　对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“SafeMode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录(默认98/xp为C:\windows，2k/NT为C:\Winnt)。

　　3、经过搜索，我们在Windows目录(不包含子目录)下发现了一个名为*****_Hook.dll的文件。

　　4、根据灰鸽子原理分析我们知道，如果*****_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有*****.exe和*****.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的*****Key.dll文件。

　　5、打开注册表编辑器(点击“开始”-》“运行”，输入“Regedit.exe”，确定。)，打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

　　6、点击菜单“编辑”-》“查找”，“查找目标”输入“*****.exe”，点击确定，我们就可以找到灰鸽子的服务项(此例为*****_Server)。

　　7、删除整个*****_Server项。

免责声明：本站部分资源由网友推荐，来自互联网，版权属于原版权人，如果不慎侵犯到您的权利，敬请告知，我们会在第一时间撤除。本站中各网友的评论只代表其个人观点，不代表本站同意其观点。