Backdoor.Gpigeon.ric 是什么病毒

如何删除病毒Backdoor.Gpigeon.2007.q~

可以在安全模式下杀毒

电脑感染病毒，请到安全模式下杀毒

重新启动，同时按F8不松手，提示进入安全模式（WIN98为SAFE MODE字样），按提示操作。在安全模式下屏幕四角都显示“安全模式”字样，背景为黑屏。在这个模式下，你只要如同正常模式一样运行和操作你的杀毒软件就行了。

在安全模式下杀毒，系统只启动必要的程序。这样和话，很多病毒程序（尤其是木马类的）也不会自动运行了，因此杀毒比较彻底。

如果你的系统是9X的，建议在DOS下杀毒，那是最彻底的。

因为在安全模式下系统加载的程序最少，所以能杀得更彻底。

怎么在DOS下杀毒
http://zhidao.baidu.com/question/656406.html

希望与你有所帮助
http://zhidao.baidu.com/question/667875.html

（在安全模式下杀毒，比普通模式下杀毒全面）这句话是对的，因为安全模式下病毒是无法启动的，在正常模式下，病毒可以启动，也就无法删除，也就是为什么现在的杀毒软件为什么杀不了病毒的原因，所以（采取在安全模式下删除病毒）

2000和XP没有DOS模式了，XP只有安全模式。重新启动的同时，按住F8键盘（不要松手），提示进入安全模式 （其中有一个带网络连接的安全模式，一个普通的安全模式，一般选择普通的就可以了）。 在9X下面，DDS模式杀毒最干净，XP在安全模式下算是最干净的。（记住拔掉网线杀毒）

希望可以帮你

祝顺利！！

Gpigeon
灰鸽子

这是一个木马，主要是远程控制，也有插件可以键盘记录。
主要能管理远程机器的文件，能查看远程用户的桌面，摄像头等……
下面介绍的是早期版本的灰鸽子



灰鸽子
一、灰鸽子病毒简介

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。

下面介绍服务端：

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

二、灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。

三、灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

（一）、清除灰鸽子的服务

注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。

3、删除整个Game_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

（二）、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。

以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。

四、防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序

2. 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户

3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护

4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。

. 下载HijackThis扫描系统

下载地址:

http://www.skycn.com/soft/15753.html zww3008汉化版

http://www.merijn.org/files/hijackthis.zip 英文版

2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项

如最近流行的:

O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat

O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe

O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"

3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox

http://yncnc.onlinedown.net/soft/37257.htm
直接把文件的路径复制到 Killbox里删除

通常都是下面这样的文件 "服务名"具体通过HijackThis判断

C:\windows\服务名.dll

C:\windows\服务名.exe

C:\windows\服务名.bat

C:\windows\服务名key.dll

C:\windows\服务名_hook.dll

C:\windows\服务名_hook2.dll

举例说明:

C:\WINDOWS\setemykey.dll

C:\WINDOWS\setemy.dll

C:\WINDOWS\setemy.exe

C:\WINDOWS\setemy_hook.dll

C:\WINDOWS\setemy_hook2.dll

用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了

以上他们做了命名规则解释 去下载一个木马杀客灰鸽子专杀 下载地址 http://down911.com/SoftView/SoftView_3014.html 瑞星版本的专杀 下载地址 http://down911.com/SoftView/SoftView_3668.html 清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件 参见 上面回答者

软件名称： 灰鸽子（Huigezi、Gpigeon）专用检测清除工具

界面语言： 简体中文

软件类型： 国产软件

运行环境： /Win9X/Me/WinNT/2000/XP/2003

授权方式： 免费软件

软件大小： 414KB

软件简介： 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序，运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务

Backdoor.Gpigeon灰鸽子啊
灰鸽子是国内一个著名的后门程序。

灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。

最新变种信息：

“灰鸽子2007”(Win32.Hack.Huigezi)和“小木马”变种DS(Win32.Troj.Small.ds)。

“灰鸽子2007”(Win32.Hack.Huigezi)是一个后门黑客程序。

“小木马”变种DS(Win32.Troj.Small.ds)是一个会自动下载并运行其他盗号病毒的木马病毒。

一、“灰鸽子2007”(Win32.Hack.Huigezi) 威胁级别：

病毒特征：该病毒是2007年的新的灰鸽子变种,它会利用一些特殊技术,将自身伪装成电脑上的正常文件,并能躲避网络防火墙软件的监控,使其难以被用户发现。此外，黑客可以利用控制端对受感染电脑进行远程控制，并进行多种危险操作，包括查看并获取电脑系统信息，从网上下载任意的指定恶意文件，记录用户键盘和鼠标操作，盗取用户隐私信息，如QQ，网游和网上银行的帐号等有效信息，执行系统命令，关闭指定进程等。如果它发现用户的电脑上安装有摄像头，还会自动将其开启并将拍摄的屏幕画面发送给黑客。不但影响用户电脑系统的正常运作，而且会导致用户的网络私人信息和数据的泄漏。

发作症状：该病毒运行后，会将自身伪装为系统正常进程Winlogon.exe，并释放WinLog0n.dll另一个病毒文件。它会在电脑系统里添加一个名字为gs2007的伪Windows安全登录程序。同时在受感染的机器上开启端口，当成功连接黑客的控制端后，黑客便可以完全控制受感染的电脑。
预防木马病毒方法：
1.大多数的木马病毒程序为达到下次随计算机启动而自动加载的目的，一般都会将自身隐藏于系统的一些启动项中，利用Windows系统在启动过程中会自动加载某些特定位置所指向的程序的特点，达到每次跟随系统启动而加载的目的。
2.因为木马病毒的文件名可以千变万化，往往同一种木马其文件名可能完全不同，要有效地检测出木马病毒，必须通过动静结合的方法来实现。
毒霸for Vista版上市

二、“小木马”变种DS (Win32.Troj.Small.ds)威胁级别：

病毒特征：该病毒是一个木马下载器，当它发现用户电脑上的IE可用时，就会自动连接指定的恶意站点，下载并运行其它9个病毒。这9个病毒都是盗号木马病毒，它们会记录用户电脑的操作信息，窃取网络游戏，QQ和网上银行的帐号信息等，并把盗取的信息发送给木马种植者。对用户电脑信息安全及隐私数据构成极大的威胁。

发作症状：该病毒运行后，会释放一个msgcom.dll病毒文件。然后自动连接到h**p://www.iasz.***/cq/cq.exe等9个恶意站点，进行病毒下载。
金山杀他最好不过了http://tool.duba.net/zhuansha/255.shtml

灰鸽子了，建议从官方网站下载专杀杀之，我比较喜欢江民的专杀，----不是做广告啊。

---

龙山县13015338047： 没次开机都出现Backdoor.Gpigeon.azg病毒每次用 ？
束胞中诺： 可以这样解决: 开机按住F8键进入安全模式杀毒,然后打开开始菜单找“运行”输入“regedit”搜索“Backdoor.Gpigeon.azg”找到后全删,要找全呀,一个也不留.

龙山县13015338047： Backdoor.GPigeon.vmf,Dropper.age? ？
束胞中诺： Dropper.Agent木马程序,依赖系统:Win9X/NT/2000/XP.该木马程序会在受感染系统中开启后门,未经授权访问用户计算机. backdoor.gpigeon(灰鸽子)特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件.将自身注册为系统服务.木马

龙山县13015338047： Backdoor.gpigeon.xhd是什么病毒?怎么清除? ？
束胞中诺： 是灰鸽子,一个比较有名的后门软件. 现在如果遇到这种灰鸽子病毒,在删除文件时要注意这样四种形式的病毒文件[病毒文件里大多数是隐藏属性的文件,查找删除前请...

龙山县13015338047： Backdoor.Gpigeon.2007.q是什么病毒？
束胞中诺： 可以在安全模式下杀毒 电脑感染病毒,请到安全模式下杀毒 重新启动,同时按F8不松手,提示进入安全模式(WIN98为SAFE MODE字样),按提示操作.在安全模式下屏幕四角都显示“安全模式”字样,背景为黑屏.在这个模式下,你只要...

龙山县13015338047： backdoor.Gpigeon.kfj是什么病毒,有什么危害是 怎么传播的,如何删除 - ？
束胞中诺： 病毒分类 普通文件病毒 病毒名称 Backdoor.Gpigeon.kfj 瑞 星 版 本 号 18.53.41

龙山县13015338047： 木马名称:Backdoor.GPigeon.3261怎么清除啊? - ？
束胞中诺： 你是怎么中灰鸽子木马的啊??我交你个手动清楚的方法` 1、找到c:\windows\taskman32.exe删除,这是个隐藏文件,罪魁祸首就是它. 2、运行regedit,搜索taskman32.exe,所有相关项删除. 3、再用瑞星杀毒,C:\Program Files\Internet ...

龙山县13015338047： 什么是Backdoor gpigeon.2006.bz病毒 - ？
束胞中诺： 不能杀得,我把瑞星升到最高版本结果还是不行.只有下载灰鸽子专杀工具才可以.1. WINDOWS下的PE病毒 Backdoor.Gpigeon.dt 灰鸽子 2. WINDOWS下的PE病毒 Backdoor.Gpigeon.cq 灰鸽子 3. WINDOWS下的PE病毒 Backdoor.Gpigeon....

龙山县13015338047： Backdoor.Gpigeon.rcb？
束胞中诺： backdoor.gpigeon灰鸽子病毒的中毒现象和杀毒办法: 此病毒又为黑鸽子.解决方法是(我曾经用这个杀过此病毒): 1.如果不能进入安全模式,刚开机是就把中病毒的文件删掉,如果不知道是哪个文件中了病毒,可以在开始->运行打入...

龙山县13015338047： 什么是Backdoor.Gpigeon.uvc请详细介绍一下,谢谢! - ？
束胞中诺： 这个就是近来著名的灰鸽子木马了,你很荣幸地中了招了! 你可以用这个专杀工具来对付它: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具 软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具 界面语言: 简体中文 软件类型: 国产软...