N种病毒不知如何清除~求高手解答

今天电脑突然提示有.exe的执行程序出现故障，重启以后查了一下病毒，查出了好多莫名其妙的病毒，而且找不到病毒文件夹。
c:\windows Backdoor.Goigeon.fey，去C盘下根本找不到该文件夹
c:\system Volyme Information\_restore{953639c2-F3D0-4A9B-A034-D81EC1DO215C}\RP5在这个路径下发现3种病毒，分别是Trojan.DL.Agent.kng
Trojan.DL.Diyer.a
Trojan.Clicker.Agent.afg
可是在C盘下也找不到该文件夹。我的机器做了一键还原，就算杀了病毒以后，以后再恢复系统的话，还会不会再出现有这几种病毒的情况。
望各位高手们给解答一下啊 越详细越好

下面我将我收集到的对于杀鸽有帮助的文贴下，希望对大家也有帮助~~

1。怎样才能彻底杀掉Backdoor.Gpigeon灰鸽子？

最有效的是手工删除！！
1. 下载HijackThis扫描系统
下载地址:
http://www.skycn.com/soft/15753.html
zww3008汉化版
http://www.merijn.org/files/hijackthis.zip
英文版
2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - (灰鸽子)C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox
http://yncnc.onlinedown.net/soft/37257.htm
直接把文件的路径复制到 Killbox里删除
通常都是下面这样的文件 "服务名"具体通过HijackThis判断
C:\windows\服务名.dll
C:\windows\服务名.exe
C:\windows\服务名.bat
C:\windows\服务名key.dll
C:\windows\服务名_hook.dll
C:\windows\服务名_hook2.dll
举例说明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示
文件不存在或已经删除就没关系了。
其实就几个病毒关联文件。.exe\ .dll\ _hook.dll

2。灰鸽子的手工检测
由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务
项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外
，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难
。
但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从
上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会
在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我
们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模
式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前
，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，
选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件
。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，
取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中
选择“显示所有文件和文件夹”，然后点击“确定”。
2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选
择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。
3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为
Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操
作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这
两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就
可以进行手动清除。
二、灰鸽子的手工清除
经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下
操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。
注意：为防止误操作，清除前一定要做好备份。
（一）、清除灰鸽子的服务
注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉
的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表
文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
2000／XP系统：
1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”
，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注
册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击
确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项
名称是不同的）。
3、删除整个Game_Server项。
98／me系统：
在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，
我们立即看到名为Game.exe的一项，将Game.exe项删除即可。
（二）、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的
Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算
机。至此，灰鸽子VIP 2005 服务端已经被清除干净。
以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数
变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者
可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来
越大。
三、防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、
安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、
MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序
2. 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字
母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。
安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重
要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不
能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行
一定防护
4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、
D$等管理共享。完全单机的用户可直接关闭Server服务。这些都可以用winxp总管
等优化软件关闭。
WinXP 总管 v4.9.3 中文注册版
http://www.366tian.net/soft/data/soft/219.html
5. 不要随便打开或运行陌生、可疑文件和程序，如邮件中的奇怪附件，外挂
程序等。
五、灰鸽子（Huigezi、Gpigeon）专用检测清除工具
软件名称： 灰鸽子（Huigezi、Gpigeon）专用检测清除工具
界面语言： 简体中文
软件类型： 国产软件
运行环境： /Win9X/Me/WinNT/2000/XP/2003
授权方式： 免费软件
软件大小： 414KB
软件简介： 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版
灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版]
和 DLL版服务端 牵手版服务端
运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序，运行
un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
下载地址：
http://www.366tian.net/soft/data/soft/875.html

3。怎样才彻底杀掉Backdoor.GPigeon灰鸽子病毒

你中了灰鸽子《Gray Pigon》,它基于CS模式（客户端服务端）清除有点难。服务端即木马，一般插入Explorer,也有插入IE进程的。杀的时候
小心系统崩溃。瑞星有专杀工具。===》http://it.rising.com.cn/service/technology/Ravgpk_Download.htm
我也做过一款客户端，做过内存免杀，再加壳，什么杀毒软件都杀不了（我用过瑞星和卡巴---病毒库都更新过了。）。不要迷信杀毒软件
！
http://hotkey.tengyi.cn
最好备份资料重装系统，以后小心！装个还原精灵（如Symantec的一键还原精灵，一般不占用CPU的），或者花点钱买个还原卡，定期还原
为干净的系统！
应该是灰鸽子，参照以下方法试试：
灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录
下生成一组（3个）隐藏的病毒文件；病毒文件名可变，但有一定规律。目前为止，我见过的病毒文件均在%WinDir%下；病毒文件名可以是以下
三组之一：
1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll
2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll
3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll
病毒文件名的命名规律是：X.exe，X.dll，X_Hook.dll，其中“X”指文件名的变化部分。在WINDOWS模式下，三个病毒文件均为隐藏文件。在
“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后，在安全模式下才能看到病毒文件。
清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。
注意：为防止误操作，清除前一定要做好备份。
由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入
Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点
击“查看”，取消 “隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确
定”。
2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为
C:\Winnt）。
3、经过搜索，我们在Windows目录（不包含子目录）下看是否有一个名为IEXPLORE_Hook.dll（也可能是其他名称，但基本结构都是_hook.dll
的）的文件。
4、根据灰鸽子原理分析我们知道，如果IEXPLORE_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有IEXPLORE.exe和 IEXPLORE.dll文
件。打开Windows目录，应该还有一个用于记录键盘操作的IEXPLOREKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除
灰鸽子的手工清除
一、清除灰鸽子的服务
2000／XP系统：
1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“IEXPLORE.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为
IEXPLORE_Server）。
3、删除整个IEXPLORE_Server项。
98／me系统：
在9X 下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run项，我们立即看到名为IEXPLORE.exe的一项，将IEXPLORE.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的IEXPLORE.exe、IEXPLORE.dll、IEXPLORE_Hook.dll以及
IEXPLORE.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。
回答者：blade_jie - 助理 二级 11-14 13:27

进去下载个清除工具：
http://www.f1-auto.com/secound/third/four/index_v_virusquest2_backdoor_Gpigeon.html
回答者：XV流量动力 - 高级魔法师 七级 11-16 13:56
--------------------------------------------------------------------------------
灰鸽子 Vip 2005 清除器
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml
BlackHole&灰鸽子后门专杀工具
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml
如果专杀工具没有发现灰鸽子，请参考下面方法手工删除：
按照下面指导,3步就能彻底删除系统里的灰鸽子木马
1. 下载HijackThis扫描系统:
汉化版
http://www.skycn.com/soft/15753.html
2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox
http://yncnc.onlinedown.net/soft/37257.htm
直接把文件的路径复制到 Killbox里删除
通常都是下面这样的文件 "服务名"具体通过HijackThis判断
C:\windows\服务名.dll
C:\windows\服务名.exe
C:\windows\服务名.bat
C:\windows\服务名key.dll
C:\windows\服务名_hook.dll
C:\windows\服务名_hook2.dll
举例说明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示
文件不存在或已经删除就没关系了

灰鸽子的手工检测
由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不
到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。
但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名
是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入
Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，
点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“
确定”。
2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为
C:\Winnt）。
3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开
Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。另外，如果你发现了瑞星杀毒软件查不到的灰
鸽子变种，也欢迎登陆瑞星新病毒上报网站（http://up.rising.com.cn）上传样本。
灰鸽子的手工清除
经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序
文件。
注意：为防止误操作，清除前一定要做好备份。
一、清除灰鸽子的服务
2000／XP系统：
1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）
。
3、删除整个Game_Server项。
98／me系统：
在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然
后重新启动计算机。至此，灰鸽子已经被清除干净。
小结
本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法
检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大
。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。
同时随着瑞星杀毒软件2005版产品发布，杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力，灰鸽子病毒
可以被安全有效地自动清除，需要用户手动删除它的机会也将越来越少

参考资料：学来的！！

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/a15433n1.html