[收集]无论是谁，只要知道有关病毒的特征就请发到该贴

狂人cr

就好像AV病毒那样，这样做的目的，就是想让任何人知道自己发生什么。

heavy

既然米人就由我来整理下
===========================================================================
一 熊猫烧香 [s:7] (应该很多人都见识过了吧)
熊猫烧香病毒特征
1、这个病毒关闭众多杀毒软件和安全工具。
2、循环遍历磁盘目录，感染文件，对关键系统文件跳过。
3、感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。
4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码。
5、自动删除*.gho文件
病毒行为:
1:拷贝文件
病毒运行后,会把自己拷贝到
C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe(正常的打印服务是spoolsv.exe)

2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享

c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享

d:每隔6秒
删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
CheckedValue -> 0x00

删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
以上信息摘自网络

heavy

二  六大QQ病毒特征及清除方法

(一) QQ尾巴”病毒
病毒主要特征

这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。

QQ收到信息如下：

1.HoHo~~http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。

2.呵呵，其实我觉得这个网站真的不错，你看看http://www.ktv***.com/

3.想不想来点摇滚粗口舞曲，中华DJ第一站，网址告诉你http://www.qq33**.com.。不要告诉别人~哈哈，真正算得上是国内最棒的DJ站点。

4.http//www.hao***.com帮忙看看这个网站打不打的开。

5.http://ni***.126.com看看啊.我最近照的照片~才扫描到网上的。看看我是不是变了样?

清除方法

1．在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\\WINDOWS一个叫qq32.INI的文件，文件里面是附在QQ后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2．安装系统漏洞补丁

由病毒的播方式我们知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
===========================================================================
(二)  QQ“缘”病毒
病毒特征：

该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

病毒会利用QQ发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”；“1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息，消息里的链接是病毒网址。

清除方法：

使用了下面的办法将其彻底删除。

找到下列文件:

C:\\windows\\system\\noteped.exe

C:\\windows\\system\\Taskmgr.exe

C:\\Windows\\noteped.exe

C:\\Windwos\\system32\\noteped.exe

删除掉:其中Taskmgr.exe要先打开"window任务管理器",选中进程"Taskmgr.exe",杀掉

注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window认为管理器"

然后到注册表中找到"\\HKey_Local_Machine\\software\\Microsoft\\windows\\CurrentVersion\\Run"

找到"Taskmgr"删除

如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:

1.在任务栏上点击鼠标右键，选择任务管理器

2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

3.点击开始-运行，输入Regedit进入注册表

4.在注册表中找到"\\HKey_Local_Machine\\software\\Microsoft\\windows\\CurrentVersion\\Run，将Taskmgr"项删除"。

删除后重启计算机，《缘》QQ病毒宣布彻底删除。

另外提醒大家，尽快更新你的IE到IE6SP1这样可以减少很多的IE被改机会。

近来网上出现一种叫做“QQ尾巴”的木马病毒。该病毒会偷偷藏在你的系统中，当你在使用ＱＱ的时候，它会自动寻找QQ窗口，给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息，如果有人信以为真点击该链接的话，将会感染上病毒，并且成为病毒的传播源。
===========================================================================
(三)  “QQ狩猎者”病毒
病毒特征：

1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网：http://Flash2.533.net"

2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到%Windows%DownloadedProgramFiles文件夹中，文件名为"b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。

3、复制文件:

A、复制病毒体到%SystemRoot%文件夹中，文件名为"Rundll32.exe"；

B、复制病毒体为"C:\\cmd.exe";

C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件关联

A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\\exefile\\shell\\open\\command修改如下键值：默认="C;\\cmd.exe%1&*"

B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件b.sys在注册表的主键:HKEY_CLASS_ROOT\\sysfile\\shell\\open\\command修改如下键值：默认="""%1""%*"

C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\\tmpfile\\shell\\open\\command修改如下键值：默认="""%1""%*"

6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载.

清除方法:

A、关闭WindowsMe、WindowsXP、Windows2003的“系统还原”功能；

B、重新启动到安全模式下；

C、先将regedit.exe改名为regedit.com，再用资源管理器结束cmd.exe进程，然后运行regedit.com，将EXE关联修改为""%1"%*"，再删除以下文件:C:\\cmd.exe、%Windows%\\DownloadProgramFiles\\b.exe。对于Win9x系统，还要删除%SystemRoot%\\Rundll32.exe，再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件，文件大小为11184字节，如果有，将其删除。

D、清理注册表:

打开注册表，删除主键HKEY_CLASSES_ROOT\\sysfile\\shell\\open、HKEY_CLASSES_ROOT\\tmpfile\\shell\\open修改HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command的键值为"%1"%*

防范措施：

不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。

以上信息摘自网络

heavy

(四)  “武汉男生”病毒
病毒特性：

此病毒是“武汉男生”的一系列新变种，病毒发作后会利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息来诱使用户点击，该网页利用了IE的ObjectData漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。

该变种较明显的特点是，病毒运行后，除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。

(1)如果点击病毒网页，将会显示美女图片，而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器；

(2)病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具；

(3)每隔一段时间给QQ网友发送信息

(4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices中添加：

“windowsupdate”=“%安装目录%\\system\\updater.exe”%安装目录%是Windows系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\\windows；c:\\winnt等。

(5)修改文本文件（*.txt）关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒。

(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。

清除病毒

1、删除病毒在系统目录下释放的病毒文件

2、删除病毒在注册表下生成的键值

3、运行杀毒软件，对病毒进行全面清除
===========================================================================
(五)  “爱情森林”病毒
A.病毒特征

该木马程序原始文件名为hack.exe，用Delphi编写，并用UPX进行了压缩。木马程序被运行后会：

1、复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录）

3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe，并执行下载下来的程序，进行其它的破坏活动。

heavy

三  “新欢乐时光”病毒特征
===========================================================================
新欢乐时光是该病毒的中文名，其英文名包括（方括号中是相对应的各个厂家）：HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。

　　这个病毒是用VBS编写的多变形、加密病毒，感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%windir%System中生成一个名字叫Kernel.dll的文件（Windows 9x/Me）或kernel32.dll（Windows NT/2000），修改.dll文件的打开方式，感染Outlook的信纸文件。（注：%windir%指的是Windows的目录， 对于Win9x/Me系统来说，这个目录通常是Windows，对于Windows NT/2000来说，这个目录通常是WinNT）

这个病毒对计算机产生的比较明显的影响是严重影响计算机的正常使用，严重减慢计算机的运行速度，经常出现诸如“资源不足”的提示。这是因为这个病毒会大量生成folder.htt和desktop.ini，每以Web视图打开一个文件夹或打开资源管理器的时候都会激活病毒一次，从而导致计算机资源的严重下降，影响正常的使用。

      而感染这个病毒后很容易发现计算机突然出现很多的folder.htt和desktop.ini文件（文件是隐藏的，默认情况下看不到），几乎是每个目录下都会有，同时连软盘、移动硬盘等都可能会被感染，可以据此确认感染了病毒。

1.感染这个病毒后有两个明显的表现：

　　a.在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）；

　　b.电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行。

2.清除这个病毒可以在安全模式或者纯DOS下清除，需要注意以下几个问题：

　　a.建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。

　　b.在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光盘、软盘、移动硬盘等，因为这是病毒重复感染的隐患。

　　c.对于联网的计算机，杀毒之前建议取消所有的共享目录。

3.清除这个病毒建议是在安全模式下清除，这是因为：

　　a.病毒在安全模式下不会被激活，所以可以放心在安全模式下杀毒；

　　b.由于杀毒软件和专门清除工具在正常模式下都不能干净清除病毒，所以一般要在安全模式或纯DOS下杀毒，虽然两种方式都可以干净清除病毒，但在安全模式下由于系统使用了更多的缓存机制，因此要比在纯DOS下杀毒速度要快；

　　c.专门清除工具只能在Windows环境下运行，不过专门清除工具可以修复病毒修改的注册表，而一般杀毒软件做不到；

4．这是个网页病毒，利用的MS IE的漏洞，通过感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性，其传播的途径也有多种：a.通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的网页放到网站上，用户不了心浏览了这些网页就会被病毒感染了；

　　b.通过局域网。当本地计算机设有可写权限的共享目录，或者访问局域网上带毒的计算机的时候就会感染病毒；对于Windows NT/2000系统，由于存在默认的管理用共享目录，因此，管理员的疏忽也可能会造成感染。

　　c.通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带毒的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒；

　　d.通过移动介质，如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒

以上信息摘自网络

狂人cr

灰鸽子（Backdoor.Huigezi，backdoor.graybird，backdoor.gpigeon）是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

“灰鸽子病毒”传播的甚是厉害，5Q上有不少人以发布卡巴斯基杀毒软件为名，在其中暗藏病毒，尤其以自解压包的文件最为危险，其病毒程序在自解压后能够自动运行，并在生成木马程序后自动删除源文件！

灰鸽子的运行原理
灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

由于灰鸽子病毒变种繁多，其文件名也很多变，近来发现的以(Backdoor.GPigeon.sgr)类型居多，不易对付，在被感染的系统%Windows%目录下生成三个病毒文件，分别是 G_Server.exe，G_Server.dll，G_Server_Hook.dll。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。

同时注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件
灰鸽子的手工检测
由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键，在出现的启动选项菜单中，选择“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“*_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\\\\windows，2k/NT为C:\\\\Winnt）。

3、经过搜索，在Windows目录（不包含子目录）下发现了一个名为G_Server_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，G_Server_Hook.dll是灰鸽子的文件，则在操作系统安装目录下还会有G_Server.exe和G_Server.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的G_ServerKey.dll文件。

经过这几步操作基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。灰鸽子的手工清除
经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：此操作需在安全模式下进行，为防止误操作，清除前一定要做好备份。

一、清除灰鸽子的服务

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Services 注册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“G_server.exe”，点击确定，我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。

[呢个都系,可能真系我唔识操作,所以根本就都揾唔到,于是我用咗一个低B嘅方法,就系照住清道夫搜出黎嘅文件名来查找,竟然俾我揾到.呵呵~~`揾唔到果D即系无注册项,所以直接入去文件删除就得了]
98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run项，立即可以看到名为G_server.exe的一项，将G_server.exe项删除即可。

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

附：
其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的，本人使用的是瑞星杀毒软件并已经更新至最新版本，在正常模式下，瑞星查杀了除G_server.exe文件外的所有文件，其实本人并没有指望瑞星能够全部查杀，但瑞星实际上给我帮了一个大忙，就是帮我确定了所中灰鸽子病毒的类型，我在使用瑞星查杀时查杀了G_server.dll、G_server_Hook.dll和G_serverkey.dll这三个文件以及由前两个文件释放的附在其他进程下的文件，这就让我确定了剩下的那个文件必然是G_server.exe，于是重新启动计算机进入安全模式，首先要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。然后打开Windows的“搜索文件”，因为确定病毒文件为G_server.exe，但同时出于保险起见，在搜索中输入G_server*.*进行搜索,并选择所有分区,在C:\\\\windows目录下发现了G_server.exe,但令我惊讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索所有分区,然后删除即可!

另外还需进入注册表删除服务键值项,本人利用注册表的查找功能搜索G_server,查找到了灰鸽子病毒的服务键值项,并发现其中由一个键值赫然写着".....灰鸽子.....",这令本人愤恨不已,于是删除整个服务键值项.


这里下载专杀工具:http://it.rising.com.cn/service/technology/Ravgpk_Download1.htm

不规则vest

昨天清理了叔叔电脑里面的“维金”病毒（Worm.Viking.g），将大部分特征公布如下：

1.最大的特征就是受害者系统右下角系统托盘始终有一个圆形红底白叉叉图表，自称是“Anti-spyware”（反间谍软件），并不停地气泡提示英文信息，大意是用户系统已经受到间谍软件的入侵，请点击此处云云……点击无效，什么事情也没有发生。

2.点击桌面的快捷方式，弹出的是CMD窗口，检查发现C盘的部分和D盘(第二分区)的全部可执行文件都已经失效，判断已经被病毒感染，或已经被替换为病毒文件。

3.病毒会关闭杀毒软件进程，并锁死任务管理器和注册表，但在刚进入系统时按组合键可以打开任务管理器，但叉叉出现后提示锁定，判断病毒并没有进驻系统核心文件，从系统启动到病毒运行有一个时间差。

4.可以打开瑞星杀毒软件，但无法运行杀毒功能和病毒防火墙，开机杀毒也无法运行，判断已经完全被干掉了，这病毒NB！！！！

清除过程：

        随身只携带AV专杀和熊猫专杀以及金山毒霸最新安装文件，首先卸载瑞星，重启，抢先打开任务

管理器，待病毒启动后关闭可疑进程树，安装金山毒霸，这时可以安装运行，

似乎此病毒K不过金山毒霸，随后毒霸将病毒进程干掉，托盘的性感红底白叉叉消失，提示是Viking.

g，随后全盘清理,完全消灭病毒，下载专杀工具又扫了一遍，但随后发现几乎全部的EXE文件都已经完

蛋，最后索性直接镜像还原C盘，格式化D盘（早这样不是结了？ [s:4]  [s:5]  [s:5]  [s:5]  [s:5]）

heavy

关于维金,没什么好说的了........只要升级到最新版本的任何杀毒软件都可以直接杀掉
进入带网络的安全模式下,重新装杀毒软件并升级到最新版本查毒就可以了