我的機器里邊最近殺出了22個灰鴿子。backdoor/huigezi.2005.ev還有其他變種的這個病毒。我用RISING2005當時殺調了，然后重啟動又有了，病毒庫市當天最新的；用卡巴斯基殺調一個木馬，未發現灰鴿子；用KV2005，最新的病毒庫，只殺出來一個；用趨勢2005，殺部出來病毒；用熊貓2005也殺部出來，再用諾頓安全特警殺，還是沒有發現，最后用RISING2005殺，還是有！?。。。。。。。。?！在網上搜了一下，這個病毒很厲害，能竊取帳號密碼，進行遠程操作，厲害啊。高手，我該怎么清除病毒呢？怎樣能防這樣的病毒？

熱心網友

下面的是關于這個病毒的介紹以及清除方法。hkey_classes root|exefile|shell|open|command| to @="%system%rundll。exe%1%"修改為"%1%*"command|cmdcopy regedit。exe run ************************************** 灰鴿子（Backdoor。Huigezi）（我中的是 aybird，ms都一樣）作者現在還沒有停止對灰鴿子的開發，再加上有些人為了避開殺毒軟件的查殺故意給灰鴿子加上各種不同的殼，造成現在網絡上不斷有新的灰鴿子變種出現。盡管瑞星公司一直在不遺余力地收集最新的灰鴿子樣本，但由于變種繁多，還會有一些“漏網之魚”。如果您的機器出現灰鴿子癥狀但用瑞星殺毒軟件查不到，那很可能是中了還沒有被截獲的新變種。這個時候，就需要手工殺掉灰鴿子。手工清除灰鴿子并不難，重要的是我們必須懂得它的運行原理?；银澴拥倪\行原理灰鴿子木馬分兩部分：客戶端和服務端。黑客（姑且這么稱呼吧）操縱著客戶端，利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server。exe，然后黑客通過各種渠道傳播這個木馬（俗稱種木馬或者開后門）。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你運行；也可以建立一個個人網頁，誘騙你點擊，利用IE漏洞把木馬下載到你的機器上并運行；還可以將文件上傳到某個軟件下載站點，冒充成一個有趣的軟件誘騙用戶下載……G_Server。exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然后再從體內釋放G_Server。dll和G_Server_Hook。dll到windows目錄下。G_Server。exe、G_Server。dll和G_Server_Hook。dll三個文件相互配合組成了灰鴿子服務端，有些灰鴿子會多釋放出一個名為G_ServerKey。dll的文件用來記錄鍵盤操作。注意，G_Server。exe這個名稱并不固定，它是可以定制的，比如當定制服務端文件名為A。exe時，生成的文件就是A。exe、A。dll和A_Hook。dll。Windows目錄下的G_Server。exe文件將自己注冊成服務（9X系統寫注冊表啟動項），每次開機都能自動運行，運行后啟動G_Server。dll和G_Server_Hook。dll并自動退出。G_Server。dll文件實現后門功能，與控制端客戶端進行通信；G_Server_Hook。dll則通過攔截API調用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook。dll有時候附在Explorer。exe的進程空間中，有時候則是附在所有進程中?；银澴拥氖止z測由于灰鴿子攔截了API調用，在正常模式下木馬程序文件和它注冊的服務項均被隱藏，也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。但是，通過仔細觀察我們發現，對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什么，一般都會在操作系統的安裝目錄下生成一個以“_hook。dll”結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子木馬。由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。1、由于灰鴿子的文件本身具有隱藏屬性，因此要設置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然后點擊“確定”。2、打開Windows的“搜索文件”，文件名稱輸入“_hook。dll”，搜索位置選擇Windows的安裝目錄（默認98/xp為C:windows，2k/NT為C:Winnt）。 3、經過搜索，我們在Windows目錄（不包含子目錄）下發現了一個名為Game_Hook。dll的文件。4、根據灰鴿子原理分析我們知道，如果Game_Hook。DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有Game。exe和Game。dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的GameKey。dll文件。經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了，下面就可以進行手動清除。另外，如果你發現了瑞星殺毒軟件查不到的灰鴿子變種，也歡迎登陸瑞星新病毒上報網站（ ）上傳樣本。灰鴿子的手工清除經過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：1、清除灰鴿子的服務；2刪除灰鴿子程序文件。注意：為防止誤操作，清除前一定要做好備份。一、清除灰鴿子的服務2000／XP系統：1、打開注冊表編輯器（點擊“開始”－》“運行”，輸入“Regedit。exe”，確定。），打開 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Server(他忘說了)注冊表項。2、點擊菜單“編輯”－》“查找”，“查找目標”輸入“game。exe”，點擊確定，我們就可以找到灰鴿子的服務項（此例為Game_Server）。3、刪除整個Game_Server項。98／me系統：在9X下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項，我們立即看到名為Game。exe的一項，將Game。exe項刪除即可。二、刪除灰鴿子程序文件刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game。exe、Game。dll、Game_Hook。dll以及Gamekey。dll文件，然后重新啟動計算機。至此，灰鴿子已經被清除干凈。小結本文給出了一個手工檢測和清除灰鴿子的通用方法，適用于我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數變種采用此種方法無法檢測和清除。同時，隨著灰鴿子新版本的不斷推出，作者可能會加入一些新的隱藏方法、防刪除手段，手工檢測和清除它的難度也會越來越大。當你確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時，最好找有經驗的朋友幫忙解決。同時隨著瑞星殺毒軟件2005版產品發布，殺毒軟件查殺未知病毒的能力得到了進一步提高。經過瑞星公司研發部門的不斷努力，灰鴿子病毒可以被安全有效地自動清除，需要用戶手動刪除它的機會也將越來越少。最后，要是木馬實在很厲害的話，就格式化系統分區，重裝系統吧！等混蛋灰鴿子作者研究出非低格硬盤不能解決時，此方法也無效！為什么不用自己的知識開發人們需要的辦公軟件、操作系統那，而開發這個，建議把這個家伙法辦了，害了多少人了?！睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢睢畋救松蟼髁撕芏囝愋偷馁Y料，包括笑話，美女圖片、工具軟件、學習書籍、KV2005算號器等等。單擊即可下載，歡迎下載^_^全部資源下載地址 ★★★★★★★★★★★★★★★★★★★★★★★★★★如果還有其他疑問，可以發信息問我。

熱心網友

我也被灰鴿子欺負過，曾經也很麻煩，后來我把瑞星升到最新版，清空臨時文件夾再在安全模式下殺，結果就好了。我如果不具體你在百度里搜索下，我發現很多人提過這樣的問題也有很多人說的很具體的回答

熱心網友

開機進入安全模式，查找如G_SERVER.DLL,SYSTEM_HOOK.DLL的文件，這些文件多半在盤的WINDOWS目錄中，查到后請刪除，然后在注冊表中查找一下上述文件，刪掉其鍵值，再使用反毒軟件掃描，就OK了現在這個病毒越來越狡猾，正常模式下他可以在進程中隱藏自己，同時修改API，讓你無法通過文件搜索找到它。不過最近的變種，有個特點很好識別，就是關閉所有的IE進程，如果還能在進程中發現有IE進程，且無法關閉，那么一定是中招了

熱心網友

你把殺毒軟件基本試完了　偶建議你　格式化硬盤　　重新來過（重裝系統）