我用的是諾頓企業(yè)版殺毒軟件，查出來了但是殺不了，怎么辦，謝謝

熱心網友

一、灰鴿子病毒簡介灰鴿子是國內一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時，灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。這就好比火藥，用在不同的場合，給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚，在此我們只能進行簡要介紹。 灰鴿子客戶端和服務端都是采用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網IP（域名）、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等等。 服務端對客戶端連接方式有多種，使得處于各種網絡環(huán)境的用戶都可能中毒，包括局域網用戶（通過代理上網）、公網用戶和ADSL撥號用戶等。 下面介紹服務端： 配置出來的服務端文件文件名為G_Server。exe（這是默認的，當然也可以改洌Ｈ緩蠛誑屠靡磺邪旆ㄓ掌沒г誦蠫_Server。exe程序。具體采用什么辦法，讀者可以充分發(fā)揮想象力，這里就不贅述。G_Server。exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然后再從體內釋放G_Server。dll和G_Server_Hook。dll到windows目錄下。G_Server。exe、G_Server。dll和G_Server_Hook。dll三個文件相互配合組成了灰鴿子服務端， G_Server_Hook。dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項，甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以，有些時候用戶感覺種了毒，但仔細檢查卻又發(fā)現不了什么異常。有些灰鴿子會多釋放出一個名為G_ServerKey。dll的文件用來記錄鍵盤操作。注意，G_Server。exe這個名稱并不固定，它是可以定制的，比如當定制服務端文件名為A。exe時，生成的文件就是A。exe、A。dll和A_Hook。dll。 Windows目錄下的G_Server。exe文件將自己注冊成服務（9X系統寫注冊表啟動項），每次開機都能自動運行，運行后啟動G_Server。dll和G_Server_Hook。dll并自動退出。G_Server。dll文件實現后門功能，與控制端客戶端進行通信；G_Server_Hook。dll則通過攔截API調用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook。dll有時候附在Explorer。exe的進程空間中，有時候則是附在所有進程中。 灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API函數被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸載灰鴿子動態(tài)庫而且保證系統進程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯網上泛濫的局面。二、灰鴿子的手工檢測 由于灰鴿子攔截了API調用，在正常模式下服務端程序文件和它注冊的服務項均被隱藏，也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。 但是，通過仔細觀察我們發(fā)現，對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什么，一般都會在操作系統的安裝目錄下生成一個以“_hook。dll”結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子 服務端。 由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。 1、由于灰鴿子的文件本身具有隱藏屬性，因此要設置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然后點擊“確定”。[img] [/img] 2、打開Windows的“搜索文件”，文件名稱輸入“_hook。dll”，搜索位置選擇Windows的安裝目錄（默認98/xp為C:\windows，2k/NT為C:\Winnt）。 3、經過搜索，我們在Windows目錄（不包含子目錄）下發(fā)現了一個名為Game_Hook。dll的文件。4、根據灰鴿子原理分析我們知道，如果Game_Hook。DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有Game。exe和Game。dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的GameKey。dll文件。　[img] [/img] 經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了，下面就可以進行手動清除。三、灰鴿子的手工清除 經過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：1、清除灰鴿子的服務；2刪除灰鴿子程序文件。 注意：為防止誤操作，清除前一定要做好備份。 （一）、清除灰鴿子的服務注意清除灰鴿子的服務一定要在注冊表里完成，對注冊表不熟悉的網友請找熟悉的人幫忙操作，清除灰鴿子的服務一定要先備份注冊表，或者到純DOS下將注冊表文件更名，然后在去注冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯 2000／XP系統： 1、打開注冊表編輯器（點擊“開始”－》“運行”，輸入“Regedit。exe”，確定。），打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。 2、點擊菜單“編輯”－》“查找”，“查找目標”輸入“game。exe”，點擊確定，我們就可以找到灰鴿子的服務項（此例為Game_Server，每個人這個服務項名稱是不同的）。　[img] [/img] 3、刪除整個Game_Server項。 98／me系統： 在9X下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項，我們立即看到名為Game。exe的一項，將Game。exe項刪除即可。[img] [/img] （二）、刪除灰鴿子程序文件 刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game。exe、Game。dll、Game_Hook。dll以及Gamekey。dll文件，然后重新啟動計算機。至此，灰鴿子VIP 2005 服務端已經被清除干凈。以上介紹的方法適用于我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數變種采用此種方法無法檢測和清除。同時，隨著灰鴿子新版本的不斷推出，作者可能會加入一些新的隱藏方法、防刪除手段，手工檢測和清除它的難度也會越來越大。四、防止中灰鴿子病毒需要注意的事項1。 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用，是非常必要的補丁程序　　2。 給系統管理員帳戶設置足夠復雜足夠強壯的密碼，最好能是10位以上，字母+數字+其它符號的組合；也可以禁用/刪除一些不使用的帳戶　　3。 經常更新殺毒軟件（病毒庫），設置允許的可設置為每天定時自動更新。安裝并合理使用網絡防火墻軟件，網絡防火墻在防病毒過程中也可以起到至關重要的作用，能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁，這點也比較無奈，這部分用戶不妨通過使用網絡防火墻來進行一定防護　　4。 關閉一些不需要的服務，條件允許的可關閉沒有必要的共享，也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。這些都可以用winxp總管等優(yōu)化軟件關閉。WinXP 總管 v4。9。3 中文注冊版 　　5。 不要隨便打開或運行陌生、可疑文件和程序，如郵件中的奇怪附件，外掛程序等。五、灰鴿子（Huigezi、Gpigeon）專用檢測清除工具軟件名稱： 灰鴿子（Huigezi、Gpigeon）專用檢測清除工具 界面語言： 簡體中文 軟件類型： 國產軟件 運行環(huán)境： /Win9X/Me/WinNT/2000/XP/2003 授權方式： 免費軟件 軟件大小： 414KB 軟件簡介： 由灰鴿子工作室開發(fā)的,針對灰鴿子專用清除器!可以清除VIP2005版灰鴿子服務端程序(包括殺毒軟件殺不到的灰鴿子服務端)和灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端運行DelHgzvip2005Server。exe文件清除VIP2005版灰鴿子服務端程序，運行un_hgzserver。exe文件清除灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端。

熱心網友

去這里下個軟件直接殺除，有效！

熱心網友

灰鴿子的特點是“三個隱藏”——隱藏進程、隱藏服務、隱藏病毒文件。灰鴿子2005感染系統后，將自身注冊為系統服務，并在同一目錄下生成一組（3個）隱藏的病毒文件；病毒文件名可變，但有一定規(guī)律。目前為止，我見過的病毒文件均在%WinDir%下；病毒文件名可以是以下三組之一：1、 G_Server。exe，G_Server。dll，G_Server_Hook。dll2、 IExplorer。exe，IExplorer。dll,，IExplorer_Hook。dll3、 Winlogon。exe，Winlogon。dll，Winlogon_Hook。dll病毒文件名的命名規(guī)律是：X。exe，X。dll，X_Hook。dll，其中“X”指文件名的變化部分。在WINDOWS模式下，三個病毒文件均為隱藏文件。在“文件夾選項”的“查看”面板中勾選“顯示系統文件夾內容”、“顯示所有文件及文件夾”兩個選項后，在安全模式下才能看到病毒文件。手工查殺灰鴿子2005的關鍵是找到病毒注冊的系統服務名及病毒文件X。exe所在位置。用HijackThis 1。99。0掃日志即可達到此目的，HijackThis 1。99。0的下載地址： 確定并記下病毒服務名稱后，即可重啟系統至安全模式，打開注冊表編輯器，定位到HKEY_LOCAL_MACHINE\ SYSTEM\ CURRENT CONTROLSET\ SERVICES \ 病毒服務名稱（如：“GrayPigeonServer”），將其刪除。在“安全模式”下，在“文件夾選項”的“查看”面板中勾選“顯示系統文件夾內容”、“顯示所有文件及文件夾”兩個選項，按“確定”按鈕。根據HijackThis日志中提示的病毒文件所在路徑，找到病毒文件，刪除之。重啟系統，手工殺毒即告完成。。

熱心網友

在安全模式下刪除

熱心網友

灰鴿子專殺

熱心網友

沖裝系統