山东生活帮怎么看重播:中毒了``救救我啊

不要听别人那样长篇大论..都是网上抄来的..

灰鸽子我建议还是下载专杀工具杀.. 比如瑞星的灰鸽子专杀工具就比较好!

呵呵 如果我是你的话..我就会选择重装系统..半个小时就改头换面了..不用苦苦去寻找这些解决办法.. 然后用GHOST创建一个还原文件..以后出了问题就随时还原了.. 就和玩游戏的存档读档一个道理的..

如果你想重装操作系统.. 我建议你装番茄花园的WINDOWS XP.. 稳定性和兼容性都非常好!

去3721下一个反间谍专家,容量小和别的杀毒软件不冲突,能清楚恶意IE广告,而且杀毒功能也不错!!比较好用!!下载地址http://cn.zs.yahoo.com/safe04_2.htm
可升级的软件!

1.什么是木马
木马就是一种可执行的程序，和平时用到的软件一样，只不过它所实现的功能与正常软件有所区别，主要就是体积小，隐藏性好，有些具有感染性等，最主要的功能就是用来远程控制或窃密等，简言之，就是黑客为了实现特定的目的编写的应用程序。

2.木马实例：
（1)阿拉QQ大盗：中马后会在指定的时间内强行关闭你的QQ号码，当你再次登陆时，你的号码和密码就会被木马拦截并发送到木马制造者指定的信箱或是网页处理程序上。
（2)灰鸽子：中马后对方可以完全控制你的电脑，可以下载你所有的文件，监控你的屏幕，强行开启你的摄像头，格式化你的硬盘，把你的电脑设为代理服务器作为跳板攻击它人电脑来栽赃嫁祸！总之就是可以把你的电脑当成自己的电脑来用，还要以用来盗取钱财，比如可以利用你的ADSL账号消费，用来买网络物品比如QQ币等。

3.中木马的方式
（1)你直接下载或是接收别人发给你的木马文件（可以作了伪装处理，比如把可执行文件“打扮”成一张照片），然后你傻乎乎的运行了它。

（2）一种可能是你下载了捆绑了木马的文件，比如把阿拉QQ大盗与QQ软件捆绑在下起，当你下载QQ软件安装时，QQ木马也会在隐藏状态下运行，你一切你都不会发现有任何的异常。

（3)中了网页木马，网页木马就是利用计算机的漏洞精心构造的网页，它的功能就是当你的计算机有这种漏洞时，你的漏洞就会被利用并自动下载运行指定的文件，例如WMF网页木马，当你的计算机有WMF漏洞时，打开些种网页会自动弹出“图片传真查看器”，然后自动下载木马文件到你的计算机并运行，还有HELP控件漏洞的网页木马，打开时会出出MS的帮助文件，然后下载病毒到你的计算机，当然更厉害的就是像正常网页一样，什么也不弹出就把病毒植入你的电脑了。比如冰狐浪子写的自动下载运行器（不过只能突破XP+SP1以下系统）

4.如何防范木马
（1）现在大家的防范意识都比较好了，很少有傻X去接收网友发给你的文件然后去运行它，所以对于第一种中马的可能性相对较少，建议大家不要接收网友发给你的文件，即使是好友（因为有些病毒可以自动发送文件给好友，你在未确定确是你的好友发给你的文件之时请不要接收，应先问明对方）。

补充：如果是发送文件的话，病毒怎么伪装也改不了EXE后缀名的特点，所以如果是其它后缀名可以接收，不过利用网页木马技术可以把构造一个任意后缀名的文件发送给别人，这个文件虽然不是木马本身，但是它确可以自动从指定的网址下载可执行文件，比如WMF后缀名的文件，它看起来只是图片的一种格式，和JPG，GIF一样，但是如果是黑客构造的病毒，它就会自动下载文件到你的电脑，（不需要你打开文件，只要你打开此文件所在的文件夹你就中马了）

（2)针对捆绑的文件，你最好下载网上的文件时先用捆绑检测文件查一下有没有捆绑附加数据，然后再运行它

（3)对于网页木马，这个是传播木马最佳的手段了，只要你打开一个网页你就中马了，相信这也是大家中毒的最大的可能，它只需要你的计算机有漏洞和你打开了旨定的网址这两个条件，你就中马了（关于漏洞，众所周知MS不停的补啊补，没有任何人敢说他的电脑没有任何漏洞，巳知的和未知的），你可能会怀疑：我没有上什么不良网站啊，怎么也会中毒？答：现在网站入侵技术非常的高明，而现在好多网站的安全意识很低，所以好多网站都被黑客入侵并在主页上挂了网页木马了，包括新浪，网易，搜狐，国家安全小组，中国杀毒网等都有被黑客入侵挂马的遭遇，那些小网站就更别说了，被人入侵得千疮百孔！还有一些论坛的人员利用跨站代码的FLASH或媒体文件作签名档，你查看此类帖子的时候也会中了网页木马。
说了这么多，现在该说说如何防范了*^_^*
先前我说过，只有利用漏洞网马才能升效，所以对付网页木马最好的手段就是及时给电脑打好补丁，没有漏洞网马就无能为力了！！！

电脑木马查杀大全
常在河边走，哪有不湿脚？所以有时候上网时间长了，很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢？

一、手工方法：

1、检查网络连接情况

由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分——proto（连接方式）、local address（本地连接地址）、foreign address（和本地建立连接的地址）、state（当前端口状态）。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

2、查看目前运行的服务

服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

3、检查系统启动项

由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！

4、检查系统帐户

恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下方法对账户进行检测。

点击“开始”->“运行”->“cmd”，然后在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不应该属于administrators组，如果你发现一个系统内置的用户是属于administrators组的，那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧！

如果检查出有木马的存在，可以按以后步骤进行杀木马的工作。

1、运行任务管理器，杀掉木马进程。

2、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址， 再将可疑的删除。

3、删除上述可疑键在硬盘中的执行文件。

4、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。

5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项（如Local Page），如果被修改了，改回来就可以。

6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。

二、利用工具：

查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等，其中有些工具，如果想使用全部功能，需要付一定的费用，木马分析专家是免费授权使用。

上面的兄弟一个个说的都好。但是我觉的还是重新装系统好（GHOST）。速度快！又没有什么副作用。

这个不一定是灰鸽子,不过可以告诉你怎么清除
灰鸽子远程监控软件分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……，这正违背了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的用户，帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
如果你没有兴趣读下面的文章，请直接下载灰鸽子工作室官方提供的清除器使用：点击这里下载 MD5：8e7a9211bfa3d81b470de8839b51c374
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。
注意：为防止误操作，清除前一定要做好备份。
一、清除灰鸽子的服务
2000／XP系统：
1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。
3、删除整个Game_Server项。98／me系统：
在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净.
那拜拜。

沉睡的公主