灰鸽子论文格式

是有病毒了，建议用杀毒软件查一查 下面的参考一下，也许对你有所帮助 由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏， 也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件 名也是可以自定义的，这都给手工检测带来了一定的困难。 但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运 行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装 目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出 灰鸽子木马。 由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行 。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键，在出 现的启动选项菜单中，选择“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“ 我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护 的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件 夹”，然后点击“确定”。 2、打开Windows的“搜索文件”，文件名称输入“*_hook.dll”，搜索位置选择Wind ows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。 3、经过搜索，在Windows目录（不包含子目录）下发现了一个名为G_Server_Hook.dl l的文件。 4、根据灰鸽子原理分析我们知道，G_Server_Hook.dll是灰鸽子的文件，则在操作系 统安装目录下还会有G_Server.exe和G_Server.dll文件。打开Windows目录，果然有这两个 文件，同时还有一个用于记录键盘操作的G_ServerKey.dll文件。 经过这几步操作基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除 。 灰鸽子的手工清除 经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主 要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。 一、清除灰鸽子的服务 2000／XP系统： 1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。 ），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册表项。 2、点击菜单“编辑”－》“查找”，“查找目标”输入“G_server.exe”，点击确定 ，我们就可以找到灰鸽子的服务项. 3、删除整个G_server.exe键值所在的服务项。 98／me系统： 在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY _CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，立即可以看到名为 G_server.exe的一项，将G_server.exe项删除即可。 二、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的G_server. exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件，然后重新启动计算机 。至此，灰鸽子已经被清除干净。 附： 其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的，本人使用的是瑞星杀毒 软件并已经更新至最新版本，在正常模式下，瑞星查杀了除G_server.exe文件外的所有文 件，其实本人并没有指望瑞星能够全部查杀，但瑞星实际上给我帮了一个大忙，就是帮我 确定了所中灰鸽子病毒的类型，我在使用瑞星查杀时查杀了G_server.dll、G_server_Hoo k.dll和G_serverkey.dll这三个文件以及由前两个文件释放的附在其他进程下的文件，这 就让我确定了剩下的那个文件必然是G_server.exe，于是重新启动计算机进入安全模式， 首先要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选 项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和 文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。然后打开Windows的“ 搜索文件”，因为确定病毒文件为G_server.exe，但同时出于保险起见，在搜索中输入G_ server*.*进行搜索,并选择所有分区,在C:\windows目录下发现了G_server.exe,但令我惊 讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索 所有分区,然后删除即可! 另外还需进入注册表删除服务键值项,本人利用注册表的查找功能搜索G_server,查找 到了灰鸽子病毒的服务键值项,并发现其中由一个键值赫然写着".....灰鸽子.....",这令 本人愤恨不已,于是删除整个服务键值项.至此,灰鸽子病毒清除完毕,下面是针对灰鸽子两 个变种给出的详细清除方法。 此次是帮助朋友清除灰鸽子病毒，所以没有留下很详细的说明，不过在此还时会以图示进 行说明： 1、删除病毒源文件： 进入安全模式，由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。 打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏 受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件 和文件夹”，然后点击“确定”。本人找到的如下图： 删除G_Server.exe和G_Server2.0.exe这两个文件即可 2、清除病毒程序服务启动项： 打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册表项。 在里面找到为GrayPigeonServer和GrayPigeonServer2.0的键值项，如下图所示： 删除GrayPigeonServer和GrayPigeonServer2.0这两个键值即可！ 灰鸽子病毒变种二： 此灰鸽子变种其病毒文件仍为三个，分别为system32.exe 、system32_hook.dll、system 32.dll 另外还会有一个system32key.dll文件，大家应该想到了为什么这个病毒文件隐蔽性增强了 ，因为其命名采用了和系统文件相似的命名，使对这方面知识较缺乏的朋友难以分辨，同 时其注册表的键值项也做了相应的改动，因为利用注册表搜索功能搜索system32.exe 的话 根本不能找到灰鸽子病毒的服务启动项的键值。因为和system32相关的键值比较多，很多 和系统相关，误删的话可能会破坏系统！ 首先建议朋友们务必将查毒软件更新到最新版本，虽然查毒软件不能完全清除灰鸽子病毒 ，但我们还是需要其来帮助我们的！ 此灰鸽子病毒变种在操作系统启动后，其会释放出病毒文件附到所有的系统进程和应用程 序的进程中，可见其强大的危害性了！！ 首先启动你的杀毒软件查杀病毒，本人使用瑞星查杀了所有释放出来的附在系统进程和应 用程序的进程中的病毒文件，以及system32.dll这个文件，在这里说明一下为什么查杀不 到system32_hook.dll这个文件。这个文件实际上就是释放病毒文件附到其他进程的源头， 但其在释放病毒文件后就删除了自身！在下次启动时可由system32.exe再次释放出来，所 以system32.exe这个文件是罪魁祸首。： 1、删除病毒源文件： 然后进入安全模式，由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文 件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“ 隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有 文件和文件夹”，然后点击“确定”。本人找到的如下图： 如果大家不放心可利用系统自带的搜索功能，搜索格式最好为 system32*.* 2、清除病毒程序服务启动项： 打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册表项。 在里面找到一个为system32的键值项，如下图所示： 关于这个键值我要说明的是虽然上面对其描述为系统文件管理，但据本人所知是系统本身 是没有这个键值项的，同时本人还查看了一位刚重装系统的朋友的机子，里面确实没有这 一项，所以大家可以大胆删除！

灰鸽子远程控制程序，和杀毒软件和冲突，普遍认为是病毒，

推荐你到 饭。客。网。络 去下在教程 和 学习 很不错的网站

Backdoor.Khaos 是允许攻击者未经允许使用您计算机的后门特洛伊木马程序。Backdoor.Khaos 通常以 Server2.exe文件的形式出现。默认情况下它会打开6969 埠监听通讯。 Backdoor.Khaos 不会自动安装自己，而通常是被其它程序安装。其结果是，尽管 Backdoor.Khaos被安装在计算机上，大部份的情况下重新启动计算机后它就不再运行。Backdoor.Khaos 用 Microsoft Visual Basic 5 编写并需要 Visual Basic (VB) run-time libraries 安装在计算机的情况下才能执行。也称为: BKDR_KHAOS.A [Trend], Backdoor.Khaos [KAV], Backdoor.Win32/Khaos [RAV]Backdoor.Snowdoor 在受感染的计算机上打开 TCP 5326 或 5328 埠的后门特洛伊木马。 该后门特洛伊木马允许攻击者未经允许使用您计算机。 Backdoor.Snowdoor 是以 Delphi 程序语言编写而成并由 UPX 压缩。 也称为: Backdoor.Snowdoor [KAV], Backdoor:Win32/Snowdoor.A [RAV] Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。高波： Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。你先用BACKDOOR有很多种，你先查下具体是什么病毒，然后用比较不错的杀毒软件杀一下

不需要 直接免杀就可以

灰鸽子09年6月最新免杀教程有点深奥哦

灰鸽子一、灰鸽子病毒简介 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。 服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。 下面介绍服务端： 配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。 灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。 二、灰鸽子的手工检测 由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。 但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。 由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。 2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。 3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。 4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。 经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。 三、灰鸽子的手工清除 经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。 注意：为防止误操作，清除前一定要做好备份。 （一）、清除灰鸽子的服务 注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联 2000／XP系统： 1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。 3、删除整个Game_Server项。 98／me系统： 在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。 （二）、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。 以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。 四、防止中灰鸽子病毒需要注意的事项 1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序 2. 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户 3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护 4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C . 下载HijackThis扫描系统 下载地址: zww3008汉化版 英文版 2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项 如最近流行的: O23 - Service: SYSTEM$ (SYSTEM) - Unknown owner - C:\WINDOWS\setemy.bat O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe 用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked" 3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox 直接把文件的路径复制到 Killbox里删除 通常都是下面这样的文件 "服务名"具体通过HijackThis判断 C:\windows\服务名.dll C:\windows\服务名.exe C:\windows\服务名.bat C:\windows\服务名key.dll C:\windows\服务名_hook.dll C:\windows\服务名_hook2.dll 举例说明: C:\WINDOWS\setemykey.dll C:\WINDOWS\setemy.dll C:\WINDOWS\setemy.exe C:\WINDOWS\setemy_hook.dll C:\WINDOWS\setemy_hook2.dll 用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了以上他们做了命名规则解释 去下载一个木马杀客灰鸽子专杀 下载地址 瑞星版本的专杀 下载地址 清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件 参见 上面回答者 软件名称： 灰鸽子（Huigezi、Gpigeon）专用检测清除工具 界面语言： 简体中文 软件类型： 国产软件 运行环境： /Win9X/Me/WinNT/2000/XP/2003 授权方式： 免费软件 软件大小： 414KB 软件简介： 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端 运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序，运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务

有说明！很全面！