說到木馬，最令人惡意和恐懼的應該就是遠程控製木馬了，想象一下，當你歡快地（dì）操作著電腦，和MM聊得火熱的時候（hòu），背後正（zhèng）有一雙邪惡的眼睛盯著你的一切，這（zhè）種感覺是不是讓人毛骨悚然呢（ne）?而（ér）在遠程控製木（mù）馬中，最令國內用戶熟知的應該就是（shì）“灰鴿子”木馬了。作為國內遠程控製木馬的鼻祖，“灰鴿子”曆經數年，更新了無數（shù）個（gè）版本，直（zhí）至今日仍（réng）然是網絡上的頭號公敵。本期就讓我們來學習一下“灰鴿子”木馬的手（shǒu）工清除方法。

　　★編（biān）輯提示：“灰鴿子”的前（qián）世（shì）今生

　　“灰鴿子”是國內著名的遠程控製木馬。其豐（fēng）富而強（qiáng）大的功（gōng）能、靈活多（duō）變的操作（zuò）、良好的隱藏性使其他後門都相形見絀（chù）。

　　為什麽“灰鴿子”會（huì）成為網絡公敵?這與其強大的功能是分不開的。首先是反彈連接功能，“灰鴿子”是國內首款使（shǐ）用反彈連接功能的遠程控製木馬，突破了傳統（tǒng）主動連接方式木馬的弊端，該功能讓“灰鴿子（zǐ）”一下子（zǐ）成為了國內黑客的首眩其次是其隱藏性，“灰鴿子”誕生之初，即以超強的隱藏性和反查殺能力令殺毒軟件廠商頭痛不已，最終（zhōng）隻得發布專殺工具才得以清除。

　　2007年以後，“灰鴿子”係（xì）列木（mù）馬停止了開發，但（dàn）是其（qí）愛好者並（bìng）不甘願這一著名品（pǐn）牌就此沒落。直至今日，“灰鴿子”仍然在不斷更新，當然（rán）這都是愛好者自行開發和（hé）修改的（de）結果。

　　為什麽說“灰鴿子”很難清除呢?這是因為“灰鴿子”采用了驅動（dòng）技術，在Windows中（zhōng）的權限很高，因此殺毒軟件在對其進行查殺後，隻（zhī）要係統（tǒng）一重啟，“灰鴿子”就會死（sǐ）灰複燃。其實，要想對付“灰鴿子”，掌握手工查殺（shā）的技術，比使用任何殺毒（dú）軟件都有效。下麵我們就來看（kàn）看如何手工刪除“灰鴿子（zǐ）”。

　　結束進程

　　要讓運行著的（de）“灰（huī）鴿子”失效，首（shǒu）先第一步就是結束“灰鴿子”的（de）進程。當然，用Windows自帶（dài）的“任務管理器”是不行的（de），功能太弱，不給力。我們得（dé）請出（chū）專業的（de）安全工具“冰刃”。雙擊運行“冰刃”，點擊（jī）“進程”按鈕對當前係統中的進程進行檢測（cè）。(綠色資源站整理（lǐ）)

　　通常（cháng）在這裏我們會碰到兩種情況（kuàng），一種是進程列（liè）表（biǎo）中出現了（le）一個紅色字體的進程（chéng），這是因（yīn）為早期的“灰鴿子”會對係統進程進行dll注入。另一種情況是偽造（zào）的係統進程，例如svchost.exe，正常的（de）svchost.exe在冰刃中看起來會是一個空白的（de）圖標，而（ér）假的svchost.exe看起來會是（shì）一個小電腦的圖標。如果程序名本身就比較可疑，那麽這是最好不過的了，一眼就能認出來，例如本例中的“.exe”。找到後（hòu）在進程上點右鍵，選擇（zé）“結束進程”即可。這樣“灰鴿子”就暫時無法運行了。

▲“灰鴿子”的進程

　　停止（zhǐ）服（fú）務

　　結束了進程，為了讓其無法自動啟動，我們還要禁止其進程。點擊“開始”菜（cài）單→“運行（háng）”，輸入“msconfig”運行“係統配置實用程序”，切換到“服務”標簽，勾選下方的“隱藏所有Microsoft服（fú）務”選項。這樣非Windows係統的服務就被列出來了，我們（men）要從中尋（xún）找可（kě）疑的服務（wù），本例中為（wéi）“Windows”。

▲“灰鴿子”的服務（wù）

　　我們回到“冰刃”，進入到“服務”功能，找到“Windows”服（fú）務對（duì）應的應用程序恰恰就（jiù）是“.exe”，位於C:Windows目錄（lù）。可（kě）見，這就是“灰鴿子”的服務。

▲禁用“灰鴿子”服（fú）務

　　接下去就好辦（bàn）了。在“Windows”服務上點右鍵，選擇“禁用”。然後再（zài）進入C:Windows目錄（lù），刪除.exe文（wén）件。這樣“灰鴿子”就被（bèi）徹底清除了。其實不光是“灰鴿子”，其（qí）他的遠程（chéng）控製木馬也都可以按照這樣的步驟（zhòu）來手工刪除。