原创作者:红桃jackerQQ:275770021 54master.com
大家知道灰鸽子版本众多，一般用户靠杀毒软件进行检测，当前能够安装并且正确升级病毒库的用户还是太少了，同时，商业版本的杀毒软件也不被所有网友接受，好多网友直接就不设防导接入网络，导致灰鸽子成为一个多发和高发的木马。
首先要解决的任务是如何检测灰鸽子，
网络上介绍的方法众多，俺用了半年多的时间一直帮网友检测灰鸽子的经历来谈谈，怎么快速检测灰鸽子。
1、请下载汉化版hijackthis备用。
  HijackThis v1.99.1  首页绑架克星它能够将绑架您浏览器的程序揪出来！并且移除之！或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，进行分析。本来它只能看看浏览器绑架的问题，再众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。
2、直接运行hijackthis.exe
      a、选  以上都不是，只是进入启动程序（进入主界面）
      b、然后点左下角的扫描
      c、再扫描出来的界面中直接查找023项目，就是服务项，
如果发现有这样的023项目，那么恭喜你了，中了灰鸽子:
如：
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - NT 服务: Generic_Save_Server (Fast Double) - Unknown owner - C:\WINDOWS\Generic Hoster.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\1.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

等等，共同特点是再023项，Gray_Pigeon_Server+Unknown owner +C:\WINDOWS（就是直接安装在系统盘下面

xp关闭灰鸽子服务方法：如：
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
控制面板/性能和维护/管理工具/服务/查找 Gray_Pigeon_Server2.0 (GrayPigeonServer2.0)  右击/属性/启动类型/禁止/应用/停止/确定。灰鸽子文件删除方法：
重启到安全模式下面，显示所有文件，删除下面可能有的文件：（也可以借助汉化版killbox，删除文件利器删除；IceSword冰刃删除也可以；其他删除文件一样
C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0key.dll
C:\WINDOWS\G_Server2.0hook.dll
2000关闭灰鸽子服务方法：
如：
O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINNT\G_Server2.0.exe
控制面板/管理工具/服务 /查找 Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) 右击→属性/启动类型/禁止/应用/停止/确定。
灰鸽子文件删除方法：
重启到安全模式下面，显示所有文件，删除下面可能有的文件：（也可以借助汉化版killbox，删除文件利器删除；IceSword冰刃删除也可以；其他删除文件一样
C:\WINNT\G_Server2.0.exe
C:\WINNT\G_Server2.0.dll
C:\WINNT\G_Server2.0hook.dll
C:\WINNT\G_Server2.0key.dll
如果exe，txt文件关联被修改，建议网上搜索注册表关键值修复工具：regfix或杀毒软件厂家的注册表清理工具修复，百信源/金山/瑞星的注册表修复工具都可以，当然第三方软件只要带文件关联修复功能的也可以：如 绿鹰万能精灵，反黑精英等。也可以网上搜索文件关联修复方法，这里俺就不多说了。:D
有关工具请参考下面帖子：
http://www.54master.com/bbs/cgi-bin/topic.cgi?forum=4&topic=19721&show=0uC
贴子主题： [注意]关于hijackthis汉化版带毒的问题

O23 - NT 服务: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:\WINDOWS\RpcSs.exe
根据楼主的描叙,这是灰鸽子的项,删除下面的文件后,用hiujackthis修复


汉化版killbox（删除文件利器）
填入完整路径删除下面文件，不放心到安全模式下删除，（xp建议关闭系统还原，其他包括xp清理所有临时文件）


如果有的话让killbox帮楼主强行删除。
C:\WINDOWS\RpcSs.exe


C:\WINDOWS\RpcSs.dll


C:\WINDOWS\RpcSshook.dll

C:\WINDOWS\RpcSskey.dll


最后修复023项目.其他灰鸽子一样可以参考进行清除

一个网友的hijackthis的扫描结果:


O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:\WINDOWS\svchost.exe

俺的回复:

让killbox帮楼主强行删除。

C:\WINDOWS\G_Server2.0.exe

C:\WINDOWS\G_Server2.0.dll


C:\WINDOWS\G_Server2.0hook.dll

C:\WINDOWS\G_Server2.0key.dll

C:\WINDOWS\svchost.exe

C:\WINDOWS\svchost.dll

C:\WINDOWS\svchosthook.dll

C:\WINDOWS\svchostkey.dll

最后修复这二023项目

杀死一个灰鸽子后的hijackthis的loge,服务未关闭,显示为(file missing)

O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe (file missing)
O23 - Service: Gray_Pigeon_Svchost (GrayPigeonSvchost) - Unknown owner - C:\WINDOWS\svchost.exe

O23 - NT 服务: system - Unknown owner - C:\WINDOWS\system.exe
灰鸽子的服务项，直接修复，或进入控制面板/系统工具/服务 中关闭

下载汉化版killbox（删除文件利器），进入安全模式，关闭系统还原/情况所有临时文件，

用killbox，填入完整路径删除下面文件，如果有的话，让killbox帮楼主强行删除。
C:\WINDOWS\system.exe

C:\WINDOWS\system.dll

C:\WINDOWS\systemHook.dll

C:\WINDOWS\systemkey.dll

最后用hujackthis直接修复023项目 
应该变成:
O23 - NT 服务: system - Unknown owner - C:\WINDOWS\system.exe(file missing)

下面为已经帮网友解决问题后的补充,希望对中了灰鸽子的网友有帮助,
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\Game.exe

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\Caopng.exe

对于比较典型的灰鸽子，这些判别方法比较实用，可以让第一次遇到灰鸽子的新手都能比较容易地找出灰鸽子的所在。不过，灰鸽子变种众多，服务名也可任意，对于这样的灰鸽子，想要在日志里一眼看出，还是要有一点经验的。更有甚者，还有HijackThis日志看不到的灰鸽子呢。