手工清除灰鴿子有什麼方法

　　當你的電腦中了灰鴿子電腦病毒時，你會怎麼辦，沒事不要緊的!下面由小編給你做出詳細的手工清除灰鴿子方法介紹!希望對你有幫助!

　　手工清除灰鴿子方法介紹：

　　當我執行那個檔案時，KV防毒軟體就彈出了告警視窗

　　木馬被隔離

　　為什麼到這時才發現呢?因為這種木馬採用了“組裝合成法”，就是把一個合法的程式和一個木馬繫結，當執行合法程式時，木馬就自動載入，同時，由於繫結後木馬的程式碼發生了變化，根據特徵碼掃描的防毒軟體是很難查出來的。這也就是我中招的原因。

　　一波三折

　　中了木馬，就要想辦法清除它。這個木馬已被KV“禁用”，無法與遠端的木馬客戶端進行通訊。單從這個角度講，如果不去管它，也無大礙。可每次啟動電腦KV就報告，讓人整天提心吊膽，並且我的Maxthon瀏覽器每次關閉網頁視窗，都要彈出“error”提示，這種情況以前從未發生過，顯然是這個木馬搞的鬼!

　　怎麼辦呢?因為是實驗室的電腦，光碟機和軟碟機被拆掉了，不支援U盤啟動，也沒有做過Ghost備份，所以既進入不了DOS，也無法用Ghost備份來恢復。我決定先試試在Win2000中能否用KV將木馬清除掉，可當KV查到Winserverhook.dll時，電腦就自動關機重啟了，而且啟動後要藍屏查硬碟!隨後通過多次試驗發現，用KV2004去查，不論是防毒狀態、查毒狀態還是詢問狀態，只要一查到winServerHook.Dll這個檔案，電腦就立刻重啟。而且也無法複製、剪下、刪除和修改winServerHook.Dll這個檔案。這使我愈發相信，winServerHook.Dll是個重要的、開機就要調入記憶體的系統動態連結庫***後來的事實證明，這是這個木馬最容易讓人上當之處!***。

　　此後，我檢查了登錄檔和幾個重要的系統檔案。傳統的木馬會在登錄檔裡或Win.ini、System.ini檔案裡留下某些痕跡，例如在登錄檔的HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion \Run中加上可疑的鍵值。檢查結果令人失望，在整個登錄檔裡都搜尋不到任何有關“huigezi”這個鍵值，“winserver”這個字串在登錄檔中可以找到，但我認為它是系統DLL，也不敢對它下手。

　　柳暗花明

　　到此為止我認識到這種木馬不簡單，很可能是採用了DLL動態連結庫技術和反彈埠技術。還好被KV及時發現並禁用。它的反彈埠是Game over了，可畢竟它已成功地安裝，它的DLL動態連結庫技術就使我難以把它清除掉。

　　DLL動態連結庫技術

　　DLL動態連結庫技術是用木馬DLL修改或替換常用的系統DLL檔案。這樣做能在程序檢視器中隱形，而且能隨系統DLL一起開機後自動啟動調入記憶體執行，難以被發現。即便被發現，也對企圖查殺它的行為起到嚇阻作用，因為查殺它就可能傷害到系統檔案，就要冒整個系統崩潰的危險!

　　反彈埠型木馬

　　反彈埠型木馬是針對防火牆對於連入的連結會進行非常嚴格的過濾，但是對於連出的連結卻疏於防範這一特點進行滲透的。與一般木馬相反，它是用安裝在被控制電腦內部的服務端去主動連線木馬的客戶端，而且用的是合法埠，把資料包含在像HTTP或FTP的報文中。採用這種技術的木馬，一旦被它成功地安裝執行，那中招電腦的防火牆簡直就是形同虛設了。

　　我嘗試進入Win2000的安全模式，在安全模式中系統只加載一些最基本的系統程式，說不定不會載入winServerHook.Dll這個檔案呢。重啟按“F8”鍵進入安全模式，一試果然如此!可以任意對winServerHook.Dll這個檔案進行刪除、剪下等操作，說明系統並沒有載入它進記憶體!我立刻把它複製到D盤做個備份，萬一在清除它所中的木馬時出現什麼問題就D盤的備份進行恢復。然後執行KV來清除木馬，這次順利地清除了，簡直是一帆風順。我重啟電腦進入正常模式了，但是KV2004又彈出了那個陰魂不散的視窗!

　　為什麼重啟電腦後它又死而復生呢?我決定換種方式，從別的Win2000系統中Copy一個winServerHook.Dll。但我卻驚訝地發現，別人的Win2000系統中竟然沒有這個檔案!