手工干掉灰鸽子

灰鸽子作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果你的机器出现灰鸽子症状，但用瑞星杀毒软件查不到，那很可能是还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

灰鸽子的检测与清除

由于灰鸽子拦截了API调用，在正常模式下木马文件、注册表项以及木马注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。对于新手，我们只能通过阻止G_Server.exe的自启动的方式来阻止它。

灰鸽子的手工清除

下面介绍几种方法来阻止G_Server.exe运行：

1.打开注册表编辑器，定位到HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services，查找灰鸽子的子键。如果幸运的话可以轻松找到，如图所示：

删除GrayPigeonServer后重启机器，然后再删除另外的动态库文件。如果找不到灰鸽子注册的服务项，那只能采取其他方法了。

2.进入安全模式（在开始启动的时候按F8），打开Windows目录，显示所有文件，直接把G_Server*.*文件删除。然后可以接着清除灰鸽子在注册表中的残留的项。这个方法最直接。

灰鸽子服务端在98下运行现象与在2K/XP下大致类似，只有一点不同。因为98系统没有服务，所以灰鸽子在98下写一个注册表启动项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\G_Server.exe : C:\windows\G_Server.exe（项名及文件名视具体情况可变）。我们把上面的方法用在清除这个启动项就可以了。

病毒技术在不断进步，灰鸽子作者也在不断学习进步。随着灰鸽子新版本的不断推出，他可能会加入一些其他的隐藏、防删除方法，服务端的文件名也可能随意变化，清除它的难度会越来越大。所以在手动清除灰鸽子失败时要留意，猜测一下病毒采用了什么技术，一种方法清除不了，就试试另一种，安全模式不行，直接采用DOS，或者直接把硬盘拆下来接到别人机器上删掉病毒。