灰鸽子工作室在测试了一段时间后，推出了灰鸽子VIP2006版本。
这个版本与2005版本相比，最主要的变化就是加强了鸽子服务项的隐藏。
原来中了2005版的鸽子，用Hijackthis扫描后，总能在023项发现可疑的鸽子服务项。其大多是形如：
O23 - Service: XXX - Unknown owner - C:\WINDOWS\XXX.exe
这不仅告诉了我们鸽子的服务文件名，还有鸽子的主程序文件名。这样用杀毒软件或者手动删除就容易的多。

但06版本的鸽子有所不同。在配置服务端时候，多了加强隐藏鸽子服务项的选项，如图。






所以中了06版的鸽子后，用Hijackthis就不能发现可疑的023服务项，系统的任务管理器或者系统管理-服务里就更没有痕迹！只有用SREng或者IceSword这类查看底层的工具才能发现服务项。这就是2006版本的鸽子与2005版最大的区别。

06版鸽子其他一些特点（从我机子上观察到的）：从IceSword中看到的、由鸽子产生的IE进程是正常的黑色，而不是应该的红色。IceSword中鸽子的服务项也是黑色的，与正常的进程、服务项无异，不知道这是否也是06版鸽子的改进，但这无疑又增加了我们查找鸽子的难度。如图。






现在回到主题：看看如何清除06版的鸽子。
在清除之前，首先要做的是打开所有的文件，这样才能更方便、更彻底的清除。
方法：打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示隐藏文件和系统文件，如图。






1) 用木马克星清除：
我关闭了卡巴和SSM的监控，运行了06版鸽子服务端。
然后打开了木马克星（我的木马克星是最新的2409版本）。木马克星随即就发现了06版灰鸽子生成的所有文件。如图，共有4个，分别是ld3.exe,ld3.dll,ld3key.dll,ld3key.log, 全部都在C:\Windows文件夹下。
随后，木马克星还会提示是否删除灰鸽子文件（如图），点击“是”就可以删除灰鸽子的主文件了。接着用木马克星的“扫描硬盘”功能扫描C盘，就可以找到剩余的文件，一起删除。
没有了主程序和dll文件的支持，鸽子已经不能运行，鸽子的服务项这时候也可见了，用hijackthis就可以发现。我们自己在注册表中或者SREng清除一下，这只06版的鸽子就彻底清除了！









在这里说一下木马克星杀06版鸽子的原理。
灰鸽子的隐藏方法,其实是替换了2个系统服务，把替换后伪造的结果才会被给相应的程序分析（比如一些杀毒软件 ）。而木马克星针对鸽子的这个特点，使用了内存定位技术，来监视系统关键的API是否被替换。如果发现有程序企图把系统服务隐藏起来以及企图入侵其他程序后反弹拦截，克星就会判断该程序是否为鸽子并报警。所以，克星这种以鸽子运行原理查杀鸽子的方法，对任何版本的鸽子都十分有效，特别对加壳或者修改后的灰鸽子有特效。
木马克星24XX后的版本，也针对06版本的鸽子，做了一些修改，查杀起来更准确。





2）手动删除：
如果我们没有最新版本的克星，也可以利用相关的小工具来自己删除06版鸽子。
这里我们需要使用的是IceSword这把利刃和SREng这个系统恢复得力工具！因为06版鸽子独特的服务项隐藏功能，Hijackthis在这时候并不能使用。

1.在开始的时候，我们关闭所有的应用程序，最好是重新启动一下电脑。打开IceSword的进程界面，看看有没有iexplore.exe这个进程在运行。如果有的话，那么很可能就是中了灰鸽子了。
2.注意：这一步很重要！我们打开SREng，进入显示系统的界面，选择“隐藏所有微软服务”的选项，这时候剩下的就都是非微软程序的服务了。如果电脑里有鸽子，那么它的服务项一定会显示在这里。我们找到这个鸽子的服务项（这需要对常见的程序服务比较熟悉），点击“删除所选服务”的按钮（注意：本按钮只有在选择了“隐藏所有微软服务”后才可用），这时候鸽子的服务就删除了！然后重新启动。






3.重新启动后，因为没有服务项的支持，鸽子无法启动运行，鸽子的相关文件也不会隐藏，这只鸽子已经变成死鸽子了！我们可以选择用IceSword删除相关的文件，或者直接在Windows下删除。如图，所有文件都可以看到了。





这样，利用这些小工具，我们也能删除06版本的鸽子。