[原创]无敌攻略之——灰鸽子,前进!!!　　

长夜漫漫我无心睡眠,偶尔听朋友谈到灰鸽子对他身心的伤害,便想找个鸽子玩玩,但现在网上的假站点实在太多,好不容易找到了(灰鸽子挺进测试版),本人对此木马的描述是：
1．自动跟踪目标机屏幕变化(局域网或宽带适用)；
2．鼠标和键盘输入的完全模拟；
3．记录各种口令信息：屏保口令、各种共享资源口令及Oicq口令，同时提供击键
记录功能；
4．获取系统信息：包括CPU主频、注册公司、当前用户、系统路径、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；等等。看起来功能很强大，不过我没机会使用控制端，只能自己试试客户端，看看手动清除该木马的方法。
测试系统：WIN98SE
配置服务端程序时可以看到，灰鸽子潜伏的路径可能是windows目录，system目录或temp临时文件目录，默认木马程序名为Kernel32.exe，至于该木马记录QQ密码的默认文件名是huipass.sys文件，遗憾的是我在测试时没找到该文件的具体位置，因为我运行了N次我的QQ，都没有发现被记录有密码。至于运行该木马时的提示框都有选择设置，还可能弹出记事本，看了该功能，大家以后遇到运行某些不名程序时弹出警告或错误的框，就要格外小心了。
运行木马程序server.exe(名称可以改变)
发现C:\WINDOWS\下多了notepod.exe 文件，挺象记事本notepad.exe程序
C:\WINDOWS\SYSTEM多了kernel32.exe文件
注册表被修改的键值为
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\@"C:\WINDOWS\SYSTEM\Kernel32.exe "%1" %*"----exe关联被修改
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command\@"Notepod.exe "%1""---------文本文档关联被修改
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\LoadWindowsFile
"C:\WINDOWS\SYSTEM\Kernel32.exe"开机启动木马程序
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\LoadWindowsFile[名称不定]
"C:\WINDOWS\SYSTEM\Kernel32.exe"同上,也是关于启动鸽子
木马运行机制：Kernel32.exe与notepod.exe 实际均为同一程序而不同名开来该木马并没有什么特别之处.
清除方法：
1。首先打开注册表，然后启动进程工具终止掉kernel32.exe(名称可能不同)进程[其实该木马并没有监视注册表，不象广外女生那样一发现注册表被改马上恢复]
修改HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\@
该键值为""%1" %*"
修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command\@
该键值为"C:\WINDOWS\NOTEPAD.EXE %1"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\[删除]LoadWindowsFile
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\[删除]LoadWindowsFile
2。然后到windows目录删除notepod.exe ，小心点,看清楚再下手!
到system下删除kernel32.exe文件
至此木马清除完毕
[注意事项]:灰鸽子木马还可能改的关联有ini关联和inf关联。还有该木马还有一个功能，定时删启动文件和快速格盘，所以建议大家平时将format.com和deltree.com命令改名，经常删除没用的temp临时文件夹尽量减少这鸽子对你电脑造成的损失.
还有什么意见和建议的请跟贴,谢谢合作!!!