灰鸽子"病毒   
病毒特性:
G_Server.exe(即灰鸽子病毒的服务器端)第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务，然后从体内释放2个文件到Windows目录下：G_Server.dll，G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。注意，G_Server.exe这个名称并不固定，它是可以被使用者定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

灰鸽子的手工检测:
由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。
2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\\windows，2k/NT为C:\\Winnt）。
3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。