瑞星卡卡安全论坛

www.rising.com.cn  2003-12-25 9:29:00  信息源:晨光 

注意：以下清除顺序不可以随意调整。

1.删除灰鸽子服务端程序

由于在Windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入纯DOS状态删除，删除命令如下：
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe

还要注意，如果灰鸽子服务端设置了exe 文件关联的话，将会导致注册表编辑器无法运行，所以在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命令如下：
ren c:\windows\regedit.exe regedit.com

2.删除注册表中启动键
由于我们改了注册表编辑器名称，所以要打开注册表编辑器应为：打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后，依次打开“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Current Version\Run"，在右边的窗口中删除名称为”Loadwindows"的键值就可以了。

清除文件关联

灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在。

1.解除exe关联：
启动注册表编辑器，然后找到HKEY_CLASSES_ROOT\Exefile\shell\Open\Cpmmand主键，查看起默认的键值是不是系统默认的“%1%*”，如果被修改，则改成默认值.

2.解除txt关联：
打开注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command主键，其默认值的正常参数应该为“C：\windows\notepad.exe%1",如果不是，请修改为正确数据。

3.解除ini关联：
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键下，其默值数据也是“C：\windows\notepad.exe%1”，如果被修改的话，也要改回来。

4解除inf关联：
打开注册表的HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键，和ini,txt文件关联一样，其默认值也是“C：\windows\notepad.exe%1”，如果被修改，也要立刻改回正确的数据。

至此，灰鸽子已经被你扫地出门了，你不再担心成为别人"盘中餐”了。

一、清除灰鸽子的服务

    2000／XP系统：

    1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

    2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。







    3、删除整个Game_Server项。

    98／me系统：

    在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。




    二、删除灰鸽子程序文件

    删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

灰鸽子2005手工查杀方法总结
http://forum.ikaka.com/topic.asp?board=28&artid=5666824

呵呵，没看到这个帖子，帮顶，望中毒的朋友试试！！！

我中了这个病毒么??怎么看我中了没??能不能解释下?

附件: 392924200518102640.jpg

怎么样确认自己的电脑是否中了灰鸽子病毒?

Ding!
但是“3.解除ini关联：
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键下，其默值数据也是“C：\windows\notepad.exe%1”，如果被修改的话，也要改回来。”中有错。
应是修改：HKEY_CLASSES_ROOT\Inffiles\Shell\Open\Command主键下的数据。

刚好需要!慢慢学着用!谢谢了!

灰鸽子清除方法早会了，现在我该学着未知病毒查杀法。

【回复“封箭”的帖子】
怎么根本找不到 kernel32.exe和notepod.exe啊
是不是现在的灰鸽子又是新版本了.我瑞星查到的是Backdoor.Huigezi.bc 
请问还有其他方法解决吗?瑞星怎么不出专杀工具呀????
急!!!!!!1

好帖.顶一下

计算机中了灰鸽子病毒后会有什么现象，怎样才会知道自己的机器是否中了呢？

可恶的灰鸽子，我的C盘用镜像恢复了，，，不知道灰鸽子还在吗，不过我的网速提高了很多，，，，不要随便相信别人的说法，不要相信啊，

学习中...

【回复“坏兔子”的帖子】
怎么根本找不到 kernel32.exe和notepod.exe啊
是不是现在的灰鸽子又是新版本了.我瑞星查到的是Backdoor.Huigezi.bc
请问还有其他方法解决吗?瑞星怎么不出专杀工具呀????
急!!!!!!1

我也是,急盼高手救我!!!!!!!!

这好像是2003年的，对现在的灰鸽子病毒没用！

灰鸽子的变种较多，查杀方法不尽相同。楼主应写清楚这个查杀方法是针对灰鸽子哪个（哪些）变种的。这样，才有参考简直。我知道的是：此手工查杀方法对灰鸽子2005无效。

我也是相同问题
顶一个
Backdoor.huigezi.bc
查得到杀不掉

2001~2002年，灰鸽子开始出现在网络，我现在拥有0.1辐射版本。

http://bbs.kingsoft.com/list.php?reurl=http://bbs.db.kingsoft.com/forumdisplay.php?fid=20&page=1&sid=yECIGv
用这个方法 可以杀backdoor.huigezi.bc

【回复“robinshen1021”的帖子】
谢谢你的网址~正在学习查杀中。

这个帖子还不错

我的是backdoor.graybird.aa
请问怎样杀?

有道理！！！

精华

顶上去

这种方法是不错，但如果机器没光驱也没有软驱
进不了纯DOS怎么办

顶一下再说

"：\windows\notepad.exe%1"这个我的是双系统  我把特改为我现在用的系统文件所在那里的F ：\windows\notepad.exe%1可以的吗??????

我也顶。。。[img][/img]

附件: 5234102005618194854.jpg

这么麻烦？瑞星不能杀掉吗？我提议瑞星赶快生产出专杀工具。