贵阳市移动营业厅电话:XP操作系统问题：关闭某些程序或网页就出现蓝屏

可能是灰鸽子，我以前下了几个QQ显隐身的软件，没运行起，到是来了个病毒。
它也不干什么坏事，就是把我在群里的头像不停的修改，一天一换（只有我这台机子上看得到）。但是，我把瑞星杀毒软件升级了N次后，专门杀那个文件夹里的病毒，结果杀毒软件都报告为“没病毒”。
我选的是个性头像，病毒也是根据我QQ上以有的其他人的个性头像而不停的改。晕，我不想把这个盘隔了，那里面有很多聊天记录。
提问者： 万流峰天 - 试用期 一级
最佳答案
近来“灰鸽子病毒”传播的甚是厉害，5Q上有不少人以发布卡巴斯基杀毒软件为名，在其中暗藏病毒，尤其以自解压包的文件最为危险，其病毒程序在自解压后能够自动运行，并在生成木马程序后自动删除源文件！而灰鸽子病毒的作者至今还没有停止对灰鸽子的开发，再加上有部分人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。现在即使是最新版本的杀毒软件也未必可以完全进行查杀，可能在正常杀毒下显示已完全清除，但可能在你重新启动后，木马程序再次生成！！！在这里结合本人的实际经验给出一个“灰鸽子病毒”手动清除的办法！

灰鸽子的运行原理
灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

由于灰鸽子病毒变种繁多，其文件名也很多变，近来发现的以(Backdoor.GPigeon.sgr)类型居多，不易对付，在被感染的系统%Windows%目录下生成三个病毒文件，分别是 G_Server.exe，G_Server.dll，G_Server_Hook.dll。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。

同时注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件
灰鸽子的手工检测
由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键，在出现的启动选项菜单中，选择“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“*_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\\windows，2k/NT为C:\\Winnt）。

3、经过搜索，在Windows目录（不包含子目录）下发现了一个名为G_Server_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，G_Server_Hook.dll是灰鸽子的文件，则在操作系统安装目录下还会有G_Server.exe和G_Server.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的G_ServerKey.dll文件。

[以上的我试过,但唔知系米我唔识操作,所以根本我都揾唔到,后黎我下咗个WINDOWS木马清道夫,扫描硬盘,咁就揾到晒所有嘅木马文件]

经过这几步操作基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。灰鸽子的手工清除
经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：此操作需在安全模式下进行，为防止误操作，清除前一定要做好备份。

一、清除灰鸽子的服务

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“G_server.exe”，点击确定，我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。

[呢个都系,可能真系我唔识操作,所以根本就都揾唔到,于是我用咗一个低B嘅方法,就系照住清道夫搜出黎嘅文件名来查找,竟然俾我揾到.呵呵~~`揾唔到果D即系无注册项,所以直接入去文件删除就得了]
98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项，立即可以看到名为G_server.exe的一项，将G_server.exe项删除即可。

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

附：
其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的，本人使用的是瑞星杀毒软件并已经更新至最新版本，在正常模式下，瑞星查杀了除G_server.exe文件外的所有文件，其实本人并没有指望瑞星能够全部查杀，但瑞星实际上给我帮了一个大忙，就是帮我确定了所中灰鸽子病毒的类型，我在使用瑞星查杀时查杀了G_server.dll、G_server_Hook.dll和G_serverkey.dll这三个文件以及由前两个文件释放的附在其他进程下的文件，这就让我确定了剩下的那个文件必然是G_server.exe，于是重新启动计算机进入安全模式，首先要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。然后打开Windows的“搜索文件”，因为确定病毒文件为G_server.exe，但同时出于保险起见，在搜索中输入G_server*.*进行搜索,并选择所有分区,在C:\\windows目录下发现了G_server.exe,但令我惊讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索所有分区,然后删除即可!

另外还需进入注册表删除服务键值项,本人利用注册表的查找功能搜索G_server,查找到了灰鸽子病毒的服务键值项,并发现其中由一个键值赫然写着".....灰鸽子.....",这令本人愤恨不已,于是删除整个服务键值项.至此,灰鸽子病毒清除完毕,本人重新启动电脑,又开始了自己的工作,并结合网上的一些相关资料为大家写下了这篇文章,希望对大家有帮助!!

蓝屏故障和其它故障一样，根据成因大致可以分为软件和硬件两个方面。现在还是遵循先软后硬的原则来看看故障的成因和解决办法吧！
??一、软件引起的蓝屏故障
??1．重要文件损坏或丢失引起的蓝屏故障(包括病毒所致)。
??实例：Win98中的VxD(虚拟设备驱动程序)或是．DLL?动态连接库?之类的重要文件丢失，情况一般会比较严重，会出现“蓝屏警告”。
??解决方法一：记下所丢失或损坏的文件名?用Win98启动盘中的“Ext”命令从Win98安装盘中提取和恢复被损坏或丢失的文件，步骤如下：
??(1)用Win98启动盘引导计算机，在提示符下敲入“Ext”命令。
??(2)在提示“Please enter the path to the Windows CAB files( a)：”后输入Win98安装压缩包所在的完整路径，如“F?＼Pwin98＼Win98”，完成后回车。
??(3)在提示“Please enter the name(s)of the file(s) you want to extract：”后输入你记下的丢失文件名，如“Bios．Vxd”，回车。
??(4)在解压路径提示“Please enter path to extract to(‘Enter’ for current directory)：”后输入文件将被解压到的完整路径，如“C? ＼Windows＼System”并敲回车。
??(5)最后出现确认提示“Is this Ok？(y/n)：”，输入“y”后回车。“Ext”程序会自动查找安装盘中的CAB压缩包，并将文件释放到指定的位置。
??(6)重新启动即可。
??解决方法二：用杀毒软件杀毒。有的病毒可能会破坏注册表项?杀毒后注册表应恢复中毒之前的备份。
??解决方法三：如果能启动图形界面，可以采取重装主板以及显卡的驱动程序，和进行“系统文件扫描”来恢复被破坏或丢失的文件。“系统文件扫描”的方法为?单击“开始/程序/附件/系统工具/系统信息/工具/系统文件检查器”，然后扫描改动过的文件即可。
??2．注册表损坏导致文件指向错误所引起的蓝屏。
??实例：注册表的擅自改动(包括人为地改动和软件安装时的自动替换)?其现象表现为开机或是在调用程序时出现蓝屏，并且屏幕有出错信息显示(包含出错的文件名)。
??解决方法一：恢复备份。
??(1)单击“开始/关机/重新启动计算机并切换到MS-DOS方式”，然后单击“是”；
??(2)进入Windows目录下。例如，如果你的Windows安装在“C?＼Windows” 目录下，应键入以下内容?“CD C?＼WINDOWS”后回车；
??(3)键入“SCANREG＼RESTORE”后回车。
??(4)按照上述步骤，可以将注册表恢复到最近一次启动计算机时的状态。
??解决方法二：删除键值。
??如果是在卸载程序后出现蓝屏的话，笔者断定故障是由于程序卸载不完善造成的。解决这类问题非常简单，首先你要记下出错的文件名，然后再到注册表中找到以下分支“HKEY＿LOCAL＿MACHINE＼System
??＼CurrentControlSet＼Services＼VxD”。在“查找”中输入刚才的文件名，把查到的键值删除即可。此时，千万不要忘记备份注册表哦！
??典型案例：笔者在删除金山毒霸时中途死机，重新启动后刚看到桌面的图标就出现蓝屏，并伴有错误信息出现。错误信息中提到Kavkrnl．vxd文件找不到，笔者首先根据文件名的前两个字符确定该文件不是Win98的系统文件，ka开头的应是金山毒霸的虚拟设备驱动程序。基本判断为文件指向错误，于是决定删除它在注册表中相应键值。在注册表编辑器的查找中输入“Kavkrnl．vxd”，将它在“HKEY＿LOCAL＿
??MACHINE＼System＼CurrentControlSet＼Services＼VxD”中的相应主键值删除，重启后故障消除。
??3．System．ini 文件错误引起的“蓝屏”。
??实例：软件卸载或是安装后未即时更新System．ini 文件所造成的错误。
??解决方法：禁用注册表中该项或是重新安装相应的软件或驱动程序。
??4．Win98自身的不完善造成的蓝屏。
??实例：Win98的sp1和Microsoft的Vxd＿fix．exe补丁程序对Win98的稳定性起着至关重要的作用。
??解决方法：快去下载吧，如华军网站南京站http?//nj．onlinedown．net/Win98SP1．htm?Win98sp1?及http?//nj．onlinedown．net/Windows98VxDpatch．htm? Vxd＿fix．exe?。
??5．系统资源耗尽引起的蓝屏故障。
??实例：蓝屏故障常常发生在进行一项比较大的工作时，或是在保存复制的时候，且往往发生得比较突然。这类故障的发生原因主要是与三个堆资源(系统资源、用户资源、GDI资源)的占用情况有关。
??解决方法：打开你的资源状况监视器，看一下剩余资源，如果你的三种资源都在50%甚至更低，就很容易出现诸如“非法操作”、“蓝屏”或“死机”故障。为此，必须减少资源浪费，减少不必要的程序加载，避免同时运行大程序(图形、声音和视频软件)，例如加载计划任务程序，输入法和声音指示器，声卡的DOS驱动程序，系统监视器程序等等。
??6．DirectX问题引起的蓝屏故障。
??实例：(1)DirectX版本过低或是过高；(2)游戏与它不兼容或是不支持；(3)辅助重要文件丢失；(4)显卡对它不支持。
??解决方法：升级或是重装DirectX。如果是显卡不支持高版本的DirectX那就说明你的显卡实在是太老了，尝试更新显卡的BIOS和驱动程序，否则，只好花钱升级显卡了。
??二、硬件引起的蓝屏故障
??1．内存超频或不稳定造成的蓝屏。
??实例：随机性蓝屏。
??解决方法：先用正常频率运行，若还有问题。找一根好的内存条进行故障的替换查找，一般可以解决。再就是应当注意当CPU离内存很近时内存的散热问题。
??2．硬件的兼容性不好引起的蓝屏。
??兼容机好就好在它的性价比较高，坏就坏在它在进行组装的时候，由于用户没有完善的监测手段和相应的知识，无法进行一系列的兼容性测试，从而把隐患留在了以后的使用过程中。
??实例：升级内存时，将不同规格的内存条混插引起的故障。
??解决方法：注意内存条的生产厂家、内存颗粒和批号的差异，往往就是因为各内存条在主要参数上的不同而产生了蓝屏或死机，甚至更严重的内存故障。也可以换一下内存条所插的插槽位置。如果内存条还是不能正常工作，那就只好更换了。此处，提醒各位：内存在整个微机系统中起着非常重要的作用，它的好坏将直接影响到系统的稳定性，所以在内存的选购时要注意，最好是有内行人陪伴，避免买到Remark过的条子或频率过低的条子。
??3．硬件散热引起的“蓝屏”故障。
??实例：在微机的散热问题上所出现的故障，往往都有一定规律，一般在微机运行一段时间后才出现，表现为蓝屏死机或随意重启。故障原因主要是过热引起的数据读取和传输错误。
??解决方法：采取超频的应降频，超温的应降温。其实不一定所有的故障都那么复杂，有时候从简单的方面考虑，也能很好地解决问题?要学会触类旁通。
??4．I/O冲突引起的蓝屏现象。
??解决方法：这种现象出现得比较少，如果出现了，可以从系统中删除带！号或？号的设备名，重新启动计算机进行确认，或者请高手手动分配系统资源。
??凡事要防患于未然，下面是笔者总结出来的一些经验，可供大家参考：
??1?定期对重要的注册表文件进行手工备份，避免系统出错后，未能及时替换成备份文件而产生不可挽回的错误。
??2?尽量避免非正常关机，减少重要文件的丢失。如．VxD ．DLL文件等。
??3?对普通用户而言，只要能正常运行，没有必要去升级显卡、主板的BIOS和驱动程序，避免升级造成的危害。
??4?定期检查优化系统文件，运行“系统文件检查器”进行文件丢失检查及版本校对。检查步骤参见前面相关介绍。
??5?减少无用软件的安装，尽量不用手工卸载或删除程序，以减少非法替换文件和文件指向错误的出现。
??6?如果不是内存特别大和其管理程序非常优秀，尽量避免大程序的同时运行，如果你发现在听MP3时有沙沙拉拉的声音，基本可以判定该故障是由内存不足而造成的。
参考资料：baidu历史资料