其实，几天之前我也不知道什么是灰鸽子，偶然有一天，qq上面的一个好朋友发了一个什么连接，不小心点进去了（头大啊，qq的连接不能取消的，很容易点）

于是，看到了一个什么外挂网站，我就想完蛋了，都没报警，一定种了什么木马了，由于平时玩游戏很少看别的网站，所以机器上面只装了一个买咖啡杀毒软件。

抱着笔记本跑去男生那边，请教电脑高手（恰巧这个率GG是玩天池服务器的，是个68级的小剑人），听他说，他们那边有人中了灰鸽子，于是，他老人家七手八脚的折腾半天，我来说说过程咯，让没有中毒的，预防一下，中了的杀一下，只要没被盗的，都小心啊。鄙视盗号的想不劳而获的混蛋。

方法一：

灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。
灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件；

病毒文件名可变，但有一定规律。目前为止，我见过的病毒文件均在%WinDir%下；

病毒文件名可以是以下三组之一：

确定并记下病毒服务名称后，即可重启系统至安全模式。
打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM\ CURRENT CONTROLSET\SERVICES\病毒服务名称
（如：“GrayPigeonServer”），将其删除。

在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。
根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。

重启系统，手工杀毒即告完成。
1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll
2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll
3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll

病毒文件名的命名规律是：X.exe，X.dll，X_Hook.dll，其中“X”指文件名的变化部分。

三个病毒文件均为隐藏文件。在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后，
在安全模式下才能看到病毒文件。

手工查杀灰鸽子2005的关键是找到病毒注册的系统服务名及病毒文件X.exe所在位置。用HijackThis扫日志即可达到此目的（见附图）。

HijackThis的下载地址：http://dl.pconline.com.cn/html/1/0/dlid=14090&dltypeid=1&pn=0&.html

方法二：

1.删除灰鸽子服务端程序

由于在windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入纯dos状态删除，删除命令如下：

cd c:\windows\system

attrib-r-s-h kernel32.exe

attrib-r-s-h notepod.exe

del kernel32.exe

del notepod.exe

还要注意，如果灰鸽子服务端设置了exe 文件关联的话，将会导致注册表编辑器无法运行，所以在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命令如下：

ren c:\windows\regedit.exe regedit.com

2.删除注册表中启动键

由于我们改了注册表编辑器名称，所以要打开注册表编辑器应为：打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后，依次打开“hkey—local—machine\software\microsoft\windows\current version\run"，在右边的窗口中删除名称为”loadwindows"的键值就可以了。

--------------------------------------------------------------------

清除文件关联

灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在。

1.解除exe关联：

启动注册表编辑器，然后找到hkey—classes—root\exefile\shell\open\cpmmand主键，查看起默认的键值是不是系统默认的“%1%*”，如果被修改，则改成默认值.

2.解除txt关联：

打开注册表的hkey—classes—root\txtfile\shell\open\command主键，其默认值的正常参数应该为“c：\windows\notepad.exe%1",如果不是，请修改为正确数据。

3.解除ini关联：

ini文件的的关联配置保存在注册表hkey—classes—root\inffile\shell\open\cpmmand主键下，其默值数据也是“c：\windows\notepad.exe%1”，如果被修改的话，也要改回来。

4解除inf关联：

打开注册表的hkey—classes—root\inffile\shell\open\cpmmand主键，和ini,txt文件关联一样，其默认值也是“c：\windows\notepad.exe%1”，如果被修改，也要立刻改回正确的数据。

至此，灰鸽子已经被你彻底扫地出门了，你不再担心成为别人"盘中餐”了。

最后，江湖惯例，bs 血翼天使会的所有色狼 嘻嘻

每天我不在的时候都是超级带练 裸奔也是一种美在练咯，希望尽快回到排行榜。最近比较忙20：00－24：00我会在，其他时候都在qq上，如果大家m夏日小语，裸奔看到会转告，看不到就没戏了。qq吧。