现在灰鸽子的变种及其的多, 从而造就了一种相当难处理干净的木马. 例如之前11月中旬新出的2005灰鸽子, 能通过截取windows的API实现在文件系统, 进程系统, 服务中的隐藏. 由于灰鸽子的变种很多, 很难保证大家在下载工具查杀的时候中了更新版本灰鸽子. 所以特别推出：


手动查杀灰鸽子全功略

首先, 不要认为系统进程中没有异常进程就是安全. 因为新种的灰鸽子能根据服务端的设置, 隐藏在任何一个可能存在的系统进程中.
　　
其次, 任何一个版本的灰鸽子, 都会在操作系统的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)下生成一个以'_hook.dll' 结尾的文件（mag_hook.dll文件除外）。

好了, 现在就开始咱们的查杀过程吧.


灰鸽子的查找与确认

第一 ,重新启动计算机, 根据操作系统的不同进入安全模式(98按住Ctrl, 2000以上版本按住F8), 在启动选项菜单里选择'安全模式'.
　　　　
第二, 打开'我的电脑',选择菜单'工具'====> '文件夹选项' , 点击'查看'勾选'隐藏受保护的操作系统文件', 并在'隐藏文件和文件夹'项中选择'显示所有文件和文件夹'然后点击'确定'
　　
第三, 打开Windows的'搜索文件' , 文件名称输入'_hook.dll'搜索我的电脑(推荐)
　　
第四, 经过搜索，我们在Windows目录(不包含子目录)下发现了一个名为X_Hook.dll(这个X可能为任何名称)的文件。

第五, 根据灰鸽子原理分析我们知道，如果X_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有X.exe和X.dll文件. 打开Windows目录, 果然有这两个文件, 同时还可能有一个用于记录键盘操作的XKey.dll文件(盗号的就是它了!).
　　

灰鸽子的手工清除
　　
　　经过上面的分析, 清除灰鸽子就很容易了. 清除灰鸽子仍然要在安全模式下操作, 主要有两步

1, 清除灰鸽子的服务
2, 删除灰鸽子程序文件.
　　
　　(注意:为防止误操作，清除前一定要做好备份.)
　　

一、清除灰鸽子的服务

2000/XP系统:
　　
　　1, 打开注册表编辑器(点击'开始' ===> '运行', 输入'Regedit' ,确定) 打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
　　
　　2, 点击菜单'编辑'==> '查找' , '查找目标'输入'X.exe', 点击确定，我们就可以找到灰鸽子的服务项(此例为X_Server).
　　3、删除整个X_Server项。
　　
　　98/me系统:
　　
　　在9X下, 灰鸽子启动项只有一个, 因此清除更为简单. 运行注册表编辑器, 打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项, 我们立即看到名为Game.exe的一项, 将Game.exe项删除即可.　　
、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的X.exe , X.dll, X_Hook.dll以及X.dll文件, 然后重新启动计算机. 至此, 灰鸽子服务端已经被清除干净.


最后想说的话: 在internet上,没有任何一台连接了网络的电脑是绝对安全的. 没有任何一个防火墙是万能的. 只有建立良好的自我保护机制, 才能从根本上杜绝木马带来的威胁.



三、关于系统正常文件Mag_HOOK的说明

mag_hook.dll (5.1.2600.0)
包含在软件
名字: Windows XP Home Edition, CHS
执照: 商业
信息链接: http://www.microsoft.com/windowsxp/
文件细节
文件道路: C:\WINDOWS\system32 \ mag_hook.dll
文件日期: 2002-08-29 14:00:00
版本: 5.1.2600.0
文件大小: 8.192 字节
检查和和文件hashes

CRC32: D4DACE
MD5: BE68 1AF7 BCB0 5ABD A7D5 7EC2 CC2E 51B0

SHA1: 42E9 E42F 09F1 4654 F83C 366F E122 0B7E A201 55A3

版本资源信息

公司名称: Microsoft Corporation

文件描述: Microsoft Magnifier hook library file

文件操作系统: Windows NT, Windows 2000, Windows XP, Windows 2003

文件类型: Application

文件版本: 5.1.2600.0

内部名: Mag_Hook

法律版权: Microsoft Corporation. All rights reserved.

原始的文件名: Mag_Hook.dll

产品名称: Microsoft Windows Operating System

产品版本: 5.1.2600.0


另外, 按以上手动查找的方式,实际上是找不到 Mag.exe此类的文件的. 大可以放心了

如果你怀疑Mag_HOOK.DLL是木马,可以用上面的MDR5校验器验证一下,另外Mag_HOOK.DLL的大小是8.2K左右

为什么中国的黑客老黑自己人呢~!!去黑和我们中国做对啊~~~鄙视黄色网站~~~谁能去黑完它~~~

我找了很久，希望可以帮助大家解决问题

小弟 不懂看

因为国外的科技比较先进，黑客很难破坏国外的端口，外国的电脑安全性能不错！

找的很辛苦，不过是老的，一看日期，2005年底的东西吧，呵呵。
“任何一个版本的灰鸽子, 都会在操作系统的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)下生成一个以'_hook.dll' 结尾的文件（mag_hook.dll文件除外）。”

这句话现在已经不对了，很多灰鸽子其他两个dll文件就有，就没有_hook.dll文件（因为这个文件最容易被找到）。

可能是受了这段话的影响，有不少会员中了灰鸽子来求助时就说，除了mag_hook.dll，并没有找到其他的以_hook.dll结尾的文件。

【回复“初二学生”的帖子】
你所说的这些人不是  黑客··

而且只在安装目录下生成，也不对了。比如C:\WINDOWS\system32\taskman32.exe。甚至还有在其他目录下而不在WINDOWS文件夹中的。当然在WINDOWS目录下的还是比较多见。

开发灰鸽子这些可以算黑客（如果有恶意就不能算了），但是用的人，只是吃现成而已。

【回复“拒绝网游珍惜生命”的帖子】
“ 任何一个版本的灰鸽子, 都会在操作系统的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)下生成一个以'_hook.dll' 结尾的文件”

这话太绝对，也太老了点儿。照这个思路杀鸽子，现在大多不灵！