C:\Documents and Settings\NA_NA\Local Settings\Temp\is-MET6V.tmp\_isetup\_RegDLL.tmp

C:\DOCUMENTS AND SETTINGS\ZZQ\LOCAL SETTINGS\TEMP\MC21.TMP~

灰鸽子木马


工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

灰鸽子的运行原理

灰鸽子远程监控软件分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……，这正违背了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的用户，帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
如果你没有兴趣读下面的文章，请直接下载灰鸽子工作室官方提供的清除器使用：点击这里下载 MD5：8e7a9211bfa3d81b470de8839b51c374

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。



2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。



3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。



4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

http://www.ttian.net/images/uploadimg/20050714/222331789.gif

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。

灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

一、清除灰鸽子的服务

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。
http://www.ttian.net/images/uploadimg/20050714/222409579.gif


3、删除整个Game_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

http://www.ttian.net/images/uploadimg/20050714/222443953.gif

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。
参考资料：http://www.ttian.net/website/2005/0714/109.html

这不是网址 这是你系统的临时文件夹 gdr1F.tmp是你上网或者按照程序的临时文件 无用 一般可以删除

最强杀马软件！！2007/06/02 19:15AVG Anti-Spyware 7.5、超级巡警 V3.5 、360安全卫士请看全文。有原版下载地址AVG原Ewido中文版
AVG Anti-Spyware 7.5简体中文绿色版（原Ewido）

AVG Anti-Spyware -- 极致安全 完美防护.
针对因特网上传播的新一代安全威胁的有效解决方案.
确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁.
在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术.
反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护.而这正是AVG Anti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作.

AVG Anti-Spyware 7.5是ewido anti-spyware 4.0的全新高度改进的版本.
ewido anti-spyware 4.0已经被AVG Anti-Spyware 7.5代替并且不再可供(以旧名称)销售和下载.
AVG Anti-Spyware 7.5含有相同的ewido技术,但是带有更为增强的特性:
高度改进的清除性能
更低的资源使用
支持附加的语言
AVG Anti-Spyware的特性
新 完全复新的用户界面
新 可以创建例外
新 安全删除文件的粉碎器
新 XP反间谍
新 浏览器帮助程序对象查看器
新 分层服务提供器查看器
启发式探测未知威胁
扫描和清除Windows注册表
支持扫描NTFS交换数据流
每日更新数据库
通过使用强特征码防止补丁
分析工具(启动,连接和进程)
智能联机更新
在压缩文档内扫描
安全探测和删除动态链接库木马
通过模拟探测通用加密器
探测通用捆绑程序
免费电子邮件支持
自动清除引擎
可疑文件隔离
多语言用户界面

加强版的附加特性
新 计划扫描
实时监视整个系统
内存扫描探测活动的威胁
核心层自我保护保证了无缝监视
自动联机更新

ewido 的杀马效力无可替代，新一代产品更添加几百处更新和更全样本库，占用内存明显减少，启动更快，带来更多惊喜，几个月前ewido被捷克的Grisoft(AVG)收购,继而发布最新平台，简而言之，就是AVG Internet Security Suite 的组件。
原版下载http://download.ewido.net/ewido-setup.exe汉化包下载：http://www.newpaid.com/down/ewido/hanhua.rar
附件内还有二个注册机简体中文版下载：http://guru0.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172b.exe

超级巡警 V3.5

专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统 /IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动分析可近100%的查杀未知恶意代码！
升级改动：
1.安全优化-系统修复中加入修复磁盘文件关联功能
2.初步解决软件启动时写屏造成的闪烁问题
3.增强监控功能，在病毒库更新后智能对敏感位置检测
4.升级模块将主动下载KEY，用户不用在担心KEY过期或者损坏的问题。
5、文件粉碎机的UI小调整
6、信任列表增加全选菜单
7、修正在内存扫描时仍然可以点击快速扫描的BUG。
8、进程管理增加强制使用微软数字签名校验菜单，钩选后将只使用微软签名来验证进程和模块文件。
8、服务管理增加强制使用微软数字签名校验菜单，钩选后将只使用微软签名来验证服务文件和对应的DLL模块。
9、进程管理增加隐藏已知DLL的选项，默认开启，方便一目了然的查找...

http://www.skycn.com/soft/29107.html#download
===============

360安全卫士v3.4版

漏洞补丁集中分发功能，网管批量安装补丁好帮手 new！
· 支持局域网共享下载漏洞补丁，更可自定义漏洞补丁保存目录
· 提供U盘病毒免疫功能，阻止U盘病毒入侵
· 漏洞补丁扫描更精准，更新更及时，为各类突发漏洞提供及时有效的解决方案
增量升级，更快速升级特征库 new！
· 支持增量升级，更新特征库更快速
· 首页显示最新特征库信息，更了解查杀最新动向
扫描更多可疑位置，诊断报告更精确 new！
· 扫描更多恶意软件隐匿位置，更多列出系统可疑内容
· 诊断报告更精确，更准确更快速定位系统问题
超强查杀
· “破冰”技术，追击查杀广告软件asn.2、灰鸽子等最新变种。
· 查杀9000余款流行木马，1000余款恶意软件，每日增加中
免费杀毒
· 赠送价值320元的正版卡巴斯基杀毒V6.0，病毒库每小时更新，7*24小时全面服务
· 第一时间推出各类免费病毒专杀工具，熊猫烧香、灰鸽子尽数杀除
http://dl.360safe.com/setup.exe

temp是临时文件夹 里面的东西一般不是病毒 TEMP文件夹里面的任何文件都可以删除 所以你如果觉得是病毒就删除看 开机时间长了删不了不算 要刚刚开机的时候就不能删就有问题了 那时候就拿杀毒软件查查 一般没事 原来你的主机叫NA—NA~

这样通过系统随机分配的名称不足以判断是否为病毒
你可以用杀毒软件检查一下
temp文件夹可以删除

---

秦皇岛市17282425347： 为什么电脑每天都垃圾?？
犁贺二维： 这是因为Windows系统存在临时文件夹,一般来说,临时文件夹分为两类:1.计算机用户帐户临时文件夹:此文件夹是用户应用的软件(如,winword)转储临时文件的地方,目的在于临时调用与写入,一般情况下路径在:C:\Documents ...

秦皇岛市17282425347： C:\DocumentsandSettings\? ？
犁贺二维： 那是管理员帐号下的文件,如果是你自己的电脑删掉就是了;如果是公司电脑或公共电脑,还是先搞清楚是什么文件再删吧

秦皇岛市17282425347： 怎么取消NBA2k11开头读档时的正在连接2k sport? - ？
犁贺二维： C:#92;Documents and Settings#92;Administrator#92;Application Data#92;2K Sports#92;NBA2K11 按照这个路径找就ok了.还有,文件是隐藏的!玩的愉快,望采纳!

秦皇岛市17282425347： 我上周在网吧玩暗黑血统2,在网吧个人硬盘存了档,怎么这次读取后,打开游戏找不到啊?我该怎么办? - ？
犁贺二维： 直接上QQ打开网络硬盘 然后打开C:\Documents and Settings\Administrator\My Documents\My Games\Darksiders2\English 把里面的文件拉到网络硬盘里就行了 到时候想玩就上QQ把硬盘里的文件再拉到原来的文件就行了

秦皇岛市17282425347： 关于 网络影片暂存档的位置?？
犁贺二维： 这是我的暂存档位置C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files我的意思是:如果有和人共用电脑,你的User要选对人我没有共用,所以是Administrator 如果仍然不行那就是被隐藏起来了你必须在工具列的工具选项里找到资料夹选项,点进去再进入检视找到隐藏保护的操作系统文件,点取消再点显示所有资料夹及文件再按套用及确定即可找到暂存档!! m04.swf http://dgs.myweb.hinet.net.net/m04.swf 参考资料 知识+

秦皇岛市17282425347： 魔兽世界wow卡在正在初始化不动呀,好久了都不动怎么解决呢???？
犁贺二维： 1、关闭所有暴雪相关程序关闭游戏或安装程序,打开任务管理器,终止以下进程:Agent.exe,Blizzard Launcher.exe.2、开启 显示隐藏文件、文件夹和驱动器Windows XP: 打开 我的电脑,点击顶部工具栏中的 工具 - 文件夹选项, 选择 查看 ...

秦皇岛市17282425347： 刺客信条兄弟会一运行显示ACBSP.exe应用程序错误,怎么解决啊??？
犁贺二维： 我也是的,但是解决了,如果是xp系统的话删除C:\Documents and Settings\Administrator\Application Data\Ubisoft下的Assassin's Creed Brotherhood文件夹,注意,这是你的存档,有可能是你开了作弊或者修改了存档文件造成的,

秦皇岛市17282425347： 刺客信条2 分辨率设置过大无法进入游戏?？
犁贺二维： 先在文件夹的 工具-》文件夹选项-》查看 里面选中“显示隐藏文件”,然后进入以下路径:C:\Documents and Settings\XXX\Application Data\Ubisoft\Assassin's Creed 2(XXX是你的用户名)此时可以看见一个文件Assassin2.ini,打开后第二行第三行就是屏幕分辨率,只要改成DisplayWidth=800和DisplayHeight=600应该就可以了

秦皇岛市17282425347： 弹出“在该项目上运行系统命令可能不安全,是否继续”的提示.请问,有没有其他方法？
犁贺二维： 你可以使用WinRAR来进行查看,通过WinRAR查看时就不会出现提示信息,而且还可以查看那些正常情况下无法打开的文件.WinRAR程序,然后在地址栏中打开“C:\Documents and Settings\账户\Local Settings\Temporary Internet Files”文件夹,接下来便可以通过双击其中的文件来查看了.

秦皇岛市17282425347： 边只电脑病毒劲?？
犁贺二维： 1.到C:\WINDOWS\system32里面看档案的修改日期 一班修改日期会随时变动的应该只有DLYY.DLL 跟WPA.DBL等档案, 这些档案会重生, 病毒有可能在里面 ,可以先杀掉重开机 应该对系统不会有太大的影响 因为它还会重生 2.到C:...