由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的*作壹定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的*作系統文件”前的對勾,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:windows,2k/NT為C:Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了壹個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在*作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有壹個用於記錄鍵盤*作的GameKey.dll文件。
經過這幾步*作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。
灰鴿子的手工清除:
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下*作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
註意:為防止誤*作,清除前壹定要做好備份。
壹、清除灰鴿子的服務
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices註冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有壹個,因此清除更為簡單。運行註冊表編輯器,打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項,我們立即看到名為Game.exe的壹項,將Game.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子已經被清除幹凈。
上述方法是網友提供的,新的變體指的是(以上面文件名為例)game.exe game.dll gamekey.dll.
總之用上面方法可以殺掉,不過殺掉了,別忘了在將來的使用中留意是哪個文件感染的。
請參照以下方法操作: