信息来源：学生黑客联盟
文章作者：风雪残士

一些精华文章收集 非常有用 推荐下载  所有文件均保存在我论坛服务器上 如果遇到下载不了
可能1 论坛服务器挂了 2 你电脑问题 3 如果都不是那么可能 是你人品问题

引用:

技巧: BIOS全攻略

BIOS一向被普通朋友视之为禁地，不敢随便操作，而正是由于这种误区再加上最近的 CIH 病毒带来的恐慌，使得越来越多的用户对 BIOS 产生了一种恐惧的心理，有的甚至到了“闻 BIOS 丧胆”的“境界”。
  实际上 BIOS 并没有我们想象中的那么神秘，也不是那么难以驾御，只要我们按规范操作，一切真的就是那么简单。
  为更好地方便大家对 BIOS 的全面了解和应用，这里收集了一些知识性、实用性、针对性都比较强的文章，并收录了BIOS 修改、升级软件程序等相关资源，希望通过我的一点劳动，能使你对 BIOS 有个新的认识。

下面这些是目录
基础篇

                什么是 BIOS
从头看端详，什么是 BIOS，通过简单的介绍，你会有个感性的认识。
                BIOS 是什么
一样的题目，但不同的介绍方式，让你了解到的知识也不同。
               BIOS极其功能
了解了BIOS是什么之后，就让我们再了解一下它的功能是什么。
               什么是POST自检
计算机每天启动时都要干的事情，但你知道它是怎么回事吗？
               CMOS与BIOS一样吗？
许多朋友都把CMOS 和 BIOS混淆，他们到底是什么又又什么区别呢？
               BIOS与CMOS
但我们知道了上面所的答案——COMS 和 BIOS不一样后，一定想知道它们到底是什么，那好，就看这里。
              什么是BIOS 和 COMS
百家争鸣，各有各的看法，且看这里是怎样介绍BIOS和COM的。
                  浅谈CMOS
在上面我们了解了COMS和BIOS，这了再来“浅谈COMS”，虽说是“浅谈”，但内容可不浅了，什么COMS口令破解，汇编等等，总之让你再一次提高。

                BIOS ID大揭秘
怎样识别BIOS呢？这里就将介绍一种用BIOS ID来识别的方法。
BIOS 设置篇

                什么是BIOS设置
什么是BIOS设置呢？也许谁都知道，但就是具体说不上来。通过这篇文章，你会对BIOS设置有个初步认识。
               AMI BIOS设置手册
由于AMI BIOS在PC机中占有的比率很小，使得很多AMI拥护很难得到他的一些服务。这篇就是为AMI用户准备的。
               AWARD BIOS设置手册
和AMI BIOS不同的是AWRAD BIOS市场占有量很大，但即便是这样，许多主板厂商在其说明书上还是没有详细介绍BIOS的设置，这里就是作者通过自己的实际经验，向大家介绍其具体BIOS设置
              华碩 BIOS 设置说明
华硕扳子的市场占有率一直很大，这里就是其一般的BIOS设置方法说明。
免跳线主板CPU的BIOS设置
现在的免跳线主板已逐渐流行，和它的功能一样，它的设置也发生很多变化，这里就我们来看一看。
              BIOS 设置升级篇

            为什么要升级 BIOS 呢？
对呀，我们为什么要好好的就升级BIOS呢？看完后你就知道到底是为什么了。
            升级前我们还要知道什么
凡事预则立，不预则费，我们升级也要知道其来龙去脉，这样才能成功修改嘛。
            跟我来升级BIOS——资源篇
你也许早就想升级你的BIOS，但苦于找不到升级软件而让希望一次次的破灭。好了，现在“资源篇”就帮你解决这个问题。
           跟我来升级BIOS——实战篇
学了上面那么多的东西，这里就要实战了，紧张吗？
               升级BIOS的每一步
一步一步地教你，包你立马搞定BIOS
              升级主板BIOS完全手册
既然是“完全手册”，那么一定有它独到之处，怎样的特色还要你来看一看。
            华硕主板 BIOS 的升级与管理
现在市场上 ASUS 的板子不少，许多用户都用它，而这里是专门针对 ASUS 主板 BIOS 进行升级和管理。

            BIOS LOGO 修改篇

如何修改 BIOS 里“能源之星”的 LOGO
BIOS 里的 LOGO 也能修改？看了你就知道了。
更改能源之星的图标
虽然和上文的主题是一样的，但不同的介绍方法，也许让你了解到更多的东西。
再谈更换“能源之星”的图标
是什么主题，这么热闹，一个、两个、再一个……，既然是再谈，那就看会带给我们什么新东西。
如何修改 BIOS 里的显示信息
LOGO 修改了还是不过瘾，那好，就再来修改BIOS中的信息，连存款密码也放进去。
BIOS文字信息全面修改
一篇更厉害的修改BIOS中文字及显示信息的文章，看了一定长进不少。
如何使用CBLOGO
相信大家已知道了CBLOGO，但具体怎么用也许还不太清楚，而这里就向你介绍
大家来谈修改BIOS LOGO
通过修改BIOS LOGO所带来的乐趣和刺激既然这么大，而它又是这样的简单，那我们大家就一起来修改吧，好的东西自然是共同拥有的。
打造自己的品牌机—— 一起来修改BIOS全屏开机画面
你看了题目也许就被镇住了，也许你是那么的向往品牌机，但又不能违背DIY原则，既想品牌机的雍容华贵，又想DIR的自由和价格，这也许本身就是矛盾的。
  其实品牌机最大的也最难模仿的特点就是它的开机画面，但现在不同了，通过文章的介绍，你也可以打造自己的品牌机了，让你也过一把瘾，到底怎么做，你看了就知道了。
BIOS LOGO 修改 FAQ
你在修改BIOS时一定遇到一些问题，不要紧，这里就向你解答。
BIOS 修复篇

万一BIOS升级出了问题
是啊，BIOS升级和修改并不是那么危险，但万一出了问题怎么办？这篇文章就将给你答案
修复被破坏的 BIOS
BIOS万一出问题怎么办？当然是按我们伟大的DIR精神自己修复啦，不过你也许没有经验，这里就教你一点，学会了就是你自己的啦。
升级BIOS失败后的处理
天有不侧风云，BIOS升级失败无疑是最倒霉的时，如果你真的碰到了，那么现在了解其对策，到时处理起来已就不怕了。
修复BIOS有新法
不同的环境可能发生不同的事情，同一个问题也可能有不同的解决方法，这里就是一种修复BIOS的新方法，如果你的BIOS真的坏了，它也许对你很有用。
用插拔法修复BIOS
一提起“插拔法”，我想一般的用户都听过，但具体还是没试过，怎样使用、应注意什么问题，有什么技巧等第问题也许我们都不知道，当然那是以前，看了这篇后，你会有个新的认识。
升级BIOS有惊无险
通过作者的一次遭遇，教我们一种BIOS损坏时的处理方法
升级主板 BIOS 小记
这是作者出现问题、分析问题最后解决问题的一种解决事情的好方法，我们在出现问题时不妨已如此这般。
如何用好大容量IDE硬盘
现在有不少朋友的计算机（或BIOS）不能正确地识别IDE接口的大硬盘，给许多用户带来了麻烦。这里就总结了一些方法和经验，相信会对遇到类似问题的朋友有帮助。
http://bbs.tkbbs.com/down/wy/BIOS[/url]全攻略.rar

引用:

chm文档：★系统优化和设置★

该帖介绍了至今最全的系统优化和设置方法！强烈推荐！

本人完整收集了该帖的全部内容，只修改了文字错误。
http://bbs.tkbbs.com/down/wy/[/url]系统优化和设置.rar

引用:

CPU的历史,其中包括很多经典的时代啊~

8086,8088,8255A,看看CPU走过的路程,真是感觉到幸福啊!
http://bbs.tkbbs.com/down/wy/cpu.rar[/url]





Fdisk硬盘分区图解步步通

软件名称： Fdisk硬盘分区图解步步通
软件语言： 简体中文
软件类型： 电子图书|免费版|电脑基础
文档格式： CHM
软件大小： 474KB
软件等级：
软件简介： 《Fdisk硬盘分区图解步步通》

硬盘分区并不复杂，只要你按照Fdisk硬盘分区图解步步通图示步步为营，很快就能学会的！（感谢作者整理制作）
http://bbs.tkbbs.com/down/wy/Fdisk[/url]硬盘分区图解步步通.rar




HTML 超级电子教程-word格式 （是亲自作出作品， 打印就可以使用）
注意： 把下载地址 复制到地址栏下载！
http://bbs.tkbbs.com/down/wy/Html[/url] 电子教程.rar





--== Windows 2000 安装全程视频 ==--

这是我从《电脑迷》增刊－硬件软件自己装－配套光盘中提取出
来的非常不错的电脑初级用户学习 Windows2000 安装的最佳选择，本
人特别推荐！
  由于上传的限制，我把它分成两个部分，请大家下载完整的两个
分卷后随便点击一个压缩包即可解压成功！ 注意： 把下载地址 复制到地址栏下载！
http://bbs.tkbbs.com/down/wy/Windows2000[/url] 安装全程视频[1].part1.rar
http://bbs.tkbbs.com/down/wy/Windows2000[/url] 安装全程视频[1].part2.rar





--== Windows XP 安装全程视频－推荐 ==--

--== Windows XP 安装全程视频 ==--
  这是我从《电脑迷》增刊－硬件软件自己装－配套光盘中提取出
来的非常不错的电脑初级用户学习 Windows XP 安装的最佳选择，本
人特别推荐！
  由于上传的限制，我把它分成三个部分，请大家下载完整的三个
分卷后随便点击一个压缩包即可解压成功！ 注意： 把下载地址 复制到地址栏下载！
http://bbs.tkbbs.com/down/wy/Windows[/url] XP 安装全程视频[1].part1.rar
http://bbs.tkbbs.com/down/wy/Windows[/url] XP 安装全程视频[1].part2.rar
http://bbs.tkbbs.com/down/wy/Windows[/url] XP 安装全程视频[1].part3.rar

引用:

软件名称：winxp激活程序 2.5
软件简介：
直接运行xx.bat文件，测试成功激活Windows XP Service Pack 2 简体中文正式版
http://bbs.tkbbs.com/down/wy/winxpjihuo2[1].5.rar

引用:

http://bbs.tkbbs.com/down/wy/安装SP2成功后做什么.rar

引用:

http://bbs.tkbbs.com/down/wy/电脑应用文章精华.rar

引用:

电脑右键菜单的清理

提起电脑的清理工作，大家都很熟悉吧！不过，很多朋友在对清理的认识上还有一定的局限性，更多的是集中在删除一些windows自身生成的垃圾文件等方面；实际上还有一些另类的垃圾，比如：软件在右键菜单中的项目；IE右键菜单、工具栏图标、收藏夹中的无用项目；失效的快捷方式等。它们的存在，不仅浪费了我们宝贵的硬盘空间，还会给病毒留下可乘之机。所以及时地给电脑来个大清理是很有必要的。
http://bbs.tkbbs.com/down/wy/电脑右键菜单清理.rar

引用:

如何在使用非21端口的情况下开放FTP服务

在使用Windows XP、Windows Server 2003架设FTP服务器时，如果使用的是标准的21端口，只要在ICF的设置里把“FTP 服务器”打上钩就行了。但是如果用的不是21端口，那么在ICF里打开相应端口之后客户端只能使用Port方式连接，无法使用Pasv模式，但是多数FTP客户端软件默认就是Pasv模式，这样给用户带来了不便。

那么，难道使用非标准端口就不能使用Pasv模式了吗？当然不是，只要进行正确的设置，完全可以使用Pasv模式。

首先，我们需要有一个可以限制Pasv端口范围的FTP服务器软件，这里推荐Gene6 FTP Server（参考http://aliveagain.vicp.net/viewthread.php?tid=256），一个比Serv-U更好的服务器端。

操作步骤：
首先打开G6FTP Server Administrator，打开域设置，切换到“IP绑定”项目，看动画设置：（其中的端口范围可以自行设定，不用太多，20个就够了）

再打开ICF的设置，看动画设置：（照动画里的方法添加相应的端口）

大功告成！
http://bbs.tkbbs.com/down/wy/PasvPort.rar
http://bbs.tkbbs.com/down/wy/ICF.rar

引用:

解决双击文件夹打开的却是搜索

前几天我碰到了这么一个问题，双击文件夹打开的却是搜索
（机子正常的话，也就是你点右键－－搜索，这么一个窗口）实在是受不了，非得你点右键打开才行或通过左边的目录点击

我搜索过一些文章看，一直没找到解决方法
后来想到是右键菜单的问题，就搜索看到一篇好文“右键菜单大揭密”http://www.chinadforce.com/viewthread.php?tid=78232&fpage=1
看过之后明白许多了，又想到自己是双系统（xp，2000 server）（xp出现问题）

我就把这两个系统的 HKEY_CLASSES_ROOT\diretory\（开始－－运行－－regedit） 导出（文件－－导出）来，用记事本比较看看（对导出文件点右键－－编辑）有什么不同，看了一下发现有些不同，也不愿再看了
就直接运行2000所导出的注册表文件，好了，双击文件夹，一切正常^_^

附上2000 server（正常）和xp （不正常）的导出文件
你也可以试试，双击运行xp的就会不正常，再去运行2000的就会恢复
http://bbs.tkbbs.com/down/wy/双击文件夹打开搜索.rar

引用:

万能系统备份教程
我在别的网站看到的
自己做了一个但还没有在别的机子试过这个备份

注意：如果机子上没有WORD可能看不到图片

我已经在别的机子上使用过了 可以用的
http://bbs.tkbbs.com/down/wy/万能系统备份.rar

引用:

无法删除文件的解决方法

有时候我们在删除某个文件或文件夹时，系统提示无法删除，这确定令人十分头疼，现在我们就来看看解决的办法。
一、常规解决办法：
1，注消或重启电脑，然后再试着删除。
2，进入“安全模式删除”。
3，在纯DOS命令行下使用DEL，DELTREE和RD命令将其删除。
4，如果是文件夹中有比较多的子目录或文件而导致无法删除，可先删除该文件夹中的子目录和文件，再删除文件夹。
5，在任务管理器中结束Explorer.exe进程，然后在命令提示符窗口删除文件。
6，如果你有安装ACDSee，FlashFXP，Nero，Total这几个软件，可以尝试在这几个软件中删除文件夹。
二、高级解决方案：
1，磁盘错误
运行磁盘扫描，并扫描文件所在分区，扫描前确定已选上修复文件和坏扇区，全面扫描所有选项，扫描后再删除文亻。
2，预读机制：
某些媒体播放中断或正在预览时会造成无法删除。在“运行”框中输入：REGSVR32 /U SHMEDIA.DLL，注销掉预读功能。或删除注册表中下面这个键值：[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87D62D94-71B3-4b9a- 9489-5FE6850DC73E}\InProcServer32]。
3，防火墙：
由于反病毒软件在查毒时会占用正在检查的文件，从而导致执行删除时提示文件正在使用，这时可试着暂时关闭它的即时监控程序，或许可以解决。
4，OFFice、WPS系列软件：
OFFice的非法关闭也会造成文件无法删除或改名。重新运行该程序，然后正常关闭，再删除文件。
5，借助WinRAR：
右击要删除的文件夹，选择“添加到压缩文件”。在弹出的对话框中选中“压缩后删除源文件，”随便写个压缩包名，点确定。
6，权限问题：
如果是2000和xp系统，请先确定是否有权限删除这个文件或文件夹。
7，可执行亠件的删除：
如果可执行文件的映像或程序所调用的DLL动态链接库文件还在内存中未释放，删除时就会提示文件正在使用，解决方法是删除系统的页面文件，Win98中是Win386.SWP，Win2000/XP是pagefile.sys。注意要在DOS下删除。
8，文件粉碎法：
使用文件粉碎机，如File Pulverizer，可以彻底删除一些顽固文件。
三、制作一个无法删除的“文件保险箱”
文件夹无法删除，未必就是不好的事情，如果把一些重要的文件放在这个目录中，不就可以避免误删了吗？一个文件名只包含空格的文件夹在Windows中是不允许创建和删除的，但在DOS下却可以创建文件名包含\的文件夹。
http://bbs.tkbbs.com/down/wy/删除难以删掉的文件.rar

引用:

系统故障精华（打包下载）
http://bbs.tkbbs.com/down/wy/1精华.rar

引用:

主板知识.rar
PDF格式，包括的主要内容：
  主板上的英文字母都代表什么
  计算机开机原理
  主板时钟电路工作原理
  逻辑代数的基本运算
  常见SDRAM编号识别
  电脑主板故障分布情况
  检查主板故障的常用方法
  计算机总线技术基础知识
  主板坏了从哪着手修
  主板维修－电源篇
  主板术语
  DDR内存兼容性列表
  BIOS响铃含义
  BIOS自检报错信息
  内存故障与分析
http://bbs.tkbbs.com/down/wy/主板知识.rar

引用:

著名解密杂志全集
http://bbs.tkbbs.com/down/wy/著名解密杂志全集[1].part1.rar
http://bbs.tkbbs.com/down/wy/著名解密杂志全集[1].part2.rar

引用:

http://bbs.tkbbs.com/down/wy/软件技术集合1.rar
http://bbs.tkbbs.com/down/wy/软件技术集合2.rar
http://bbs.tkbbs.com/down/wy/硬件故障集合.rar
http://bbs.tkbbs.com/down/wy/硬件技术集合.rar
http://bbs.tkbbs.com/down/wy/网络技术集合.rar



http://bbs.tkbbs.com/down/wy/20cn(宝典).rar
http://bbs.tkbbs.com/down/wy/21天学会Linux .rar
http://bbs.tkbbs.com/down/wy/30天打造专业红客.rar
http://bbs.tkbbs.com/down/wy/asp基础教材.rar




http://bbs.tkbbs.com/down/wy/C语言函数库.rar
http://bbs.tkbbs.com/down/wy/DOS高手速成.rar
http://bbs.tkbbs.com/down/wy/fdisk模拟分区.rar
http://bbs.tkbbs.com/down/wy/java入门经典教程.rar




http://bbs.tkbbs.com/down/wy/MySQL 4[1].1.0 中文参考手册.rar
http://bbs.tkbbs.com/down/wy/VB经典编程 破解版.rar
http://bbs.tkbbs.com/down/wy/WinXP使用技巧（58集版本）.rar




http://bbs.tkbbs.com/down/wy/菜鸟文章.rar
http://bbs.tkbbs.com/down/wy/电脑技巧精彩文章100篇.rar
http://bbs.tkbbs.com/down/wy/黑客攻学兼防.rar
http://bbs.tkbbs.com/down/wy/黑客零起点.rar




http://bbs.tkbbs.com/down/wy/精华.rar
http://bbs.tkbbs.com/down/wy/局域网70问.rar
http://bbs.tkbbs.com/down/wy/浅谈Windows XP系统漏洞的封堵.rar
http://bbs.tkbbs.com/down/wy/突破xp的IIS限制.zip




http://bbs.tkbbs.com/down/wy/拖慢系统启动的8个原因[1][1].txt.rar
http://bbs.tkbbs.com/down/wy/完全BIOS手册.rar
http://bbs.tkbbs.com/down/wy/网页制作教程.rar




http://bbs.tkbbs.com/down/wy/系统常见问题汇总.rar
http://bbs.tkbbs.com/down/wy/硬盘低级格式化全攻略.rar
http://bbs.tkbbs.com/down/wy/制作整合SP3的Office XP光盘.rar

引用:

经常遇到一些系统的优化、注册表修改、系统故障等等的求助帖，我收集整理、自己也写了一些注册表优化的文件提供给大家下载，解压后直接导入即可。希望能给大家在需要的时候以帮助，请慎用。如有不清楚可以右键注册表文件编辑查看，导入之前请备份下注册表

引用:

7 （点右键）以编辑方式打开可以更改IE背景.rar
2 （点右键）以编辑方式打开可以更改登陆背景.rar
6 EXE关联文件修复.rar
7 xp开关机加速.rar
1 不加载多余的DLL文件.rar
4 彻底关闭Dr_Warson.rar
8 彻底隐藏文件.rar
1 打开IE安全设定的隐藏项目.rar
1 打开XP资源管理器的状态栏.rar
5 打开启动优化功能.rar
5 给鼠标右键增加个复制移动功能.rar
1 关闭XP文件保护.rar
1 关闭程序仅等待1秒_程序出错时等待0[1].5秒.rar
2 关机时自动清除开始菜单的文档记录.rar
1 恢复“开始”菜单里的“运行”.rar
9 恢复EXE文件的打开方式.rar
4 恢复安全页自定义设置.rar
8 恢复被修改的主页.rar
0 恢复控制面板.rar
7 恢复链接名称.rar
3 恢复默认的搜索引擎.rar
2 恢复网页右键菜单.rar
9 恢复微软的默认页.rar
9 恢复一系列文件夹名称.rar
5 恢复注册表文件打开方式.rar
2 恢复桌面图标.rar
2 恢复桌面右键菜单.rar
7 加快菜单显示速度.rar
3 加快程序运行速度.rar
5 加快局域网访问速度.rar
9 加快开关机机速度,自动关闭停止响应.rar
4 加快开机速度副值.rar
4 减少开机滚动条滚动次数.rar
0 减少开机滚动条时间.rar
0 解除被禁止访问的任务栏属性.rar
5 解开“internet选项”.rar
1 解开注册表编辑器.rar
4 禁用文件夹选项菜单.rar
1 禁止IE自动安装组件.rar
4 禁止访问任务栏属性.rar
2 禁止使用注册表.rar
9 禁止远程修改注册表.rar
5 开启CPU(256k)二级缓存,加速系统核心处理进程.r
5 开启CPU(512k)二级缓存,加速系统核心处理进程.r
6 开启IE的下载功能.rar
5 开启硬件优化.rar
2 屏蔽3721,CNNIC,baidu,POPO.rar
7 屏蔽资源管理器中的(文件F)和(搜索)菜单.rar
2 启动XP的路由功能和IP的过滤功能.rar
8 启动预读和程序预读可以减少启动时间.rar
2 清除共享文件夹.rar
4 取消快捷方式的箭头.rar
1 去除IPC$管理.rar
6 去除共享.rar
4 让IE6可以8线程下载.rar
9 让欢迎窗口更清晰.rar
2 删除IE地址栏下拉菜单内的网址.rar
1 删除IE分级审查密码.rar
5 删除IE工具栏广告.rar
8 删除图标快捷方式的字样.rar
6 说魑募?txt
3 删除网页右键广告.rar
0 删除在开始菜单中的(文档)选项.rar
4 缩短XP的开关机的等待时间.rar
2 锁定IE的下载功能.rar
3 停止磁盘空间不足警告.rar
0 完全禁用系统还原.rar
7 显示被彻底隐藏的文件.rar
3 消除开机对话框.rar
4 修复AMD处理器的AGP内存分页问题.rar
6 修复IE“查看源文件”项.rar
6 修复OE标题栏广告.rar
9 修复windows注册名称和单位.rar
4 修复文件属性里面的广告.rar
5 修复隐藏硬盘.rar
7 修改FlashGet的30个线程和100下载任务.rar
8 修改标题栏.rar
7 修改时间前面加广告.rar
9 在右键添加复制到和移动到选项.rar
4 注册解锁.rar
6 自动关闭停止响应的程序.rar
1 !XP综合优化.rar
2 3721_CNNIC_POPO_百度免疫.rar
5 COPYMOVETO.rar
3 IE默认注册表.rar
7 OFFICEXP产品序列号清除.rar
8 OFFICE打开文件快捷位置.rar
2 VBS JS打开方式更改.rar
8 XP启动提速.rar
2 XP原始安装路径.rar
0 程序文件夹位置.rar
2 从资源管理器彻底隐藏文件.rar
2 打开浏览器的多线程下载.rar
6 登录外壳设置.rar
4 更改XP开机画面.rar
0 关闭平滑字体.rar
9 还原IE默认注册表项目.rar
2 加快启动滚条.rar
7 快速访问常用文件夹.rar
6 快速访问添加删除程序.rar
2 临时目录.rar
5 快速进入DOS.rar
5 启用NT下的83格式文件名.rar
7 软件默认安装路径.rar
2 设置默认搜索引擎为Google.rar
9 文件夹选项扩展.rar
8 优化xp.rar
7 五笔切换键.rar
4 在单独内存空间运行.rar
9 卸载控制面板的扫描仪和照相机.rar
7 增大图标缓存.rar
2 用户文件夹位置.rar
9 注册和取消注册模块.rar
0 优化CMOS实时时钟.rar
6 资源管理器选项扩展.rar

http://bbs.tkbbs.com/down/wy/注册表.rar

引用:

彻底搞定3721的好东西

近日接到内网用户来报，在上到某些站点的时候，会被提示安装一个叫3721中文实名的插件，部分用户在不知情的情况下误点“安装”选项，导致该病毒驻留于硬盘上难以杀除。天缘虽是网络管理员，但是对Windows操作系统的确使用得不多，从来也没有用过这个名为3721的插件，但看到用户们焦急地神情，于是答应尽力而为。经过几番努力，终于将其斩于马下。 以下是杀除该病毒得经历及病毒解决方案。

  天缘使用一台windowsxp机器，访问用户提供的站点，下载并执行了该插件。该插件为中文，自动安装后重新启动机器后生效，并自带卸载功能。通过安装/卸载前后的对比观察，其驻留性、自身保护性及对系统性能的大量损耗，让天缘确定了该插件确是病毒无疑！

  病毒发作现象：

  自动将浏览器的“搜索”功能重定向到一个叫www.3721.com的网站，该站点为中文站，且无法修改；

  强行在用户ie上添加“情景聊天”、“上网加速”等几个图标；

  不断刷新注册表相关键值，以达到成功驻留和大量消耗用户主机资源的目的；

  每次启机加载，并自带进程保护功能，在正常地windows启动下难以杀除；

  带自动升级功能，每次用户上网使用ie时，该病毒会后台执行升级；

  病毒自身特点：

  自带卸载功能；该病毒为达到隐藏自身目的，麻痹下载插件用户的目的，提供了卸载程序。但根据天缘的使用情况发现，在卸载后，该病毒程序依然驻留，启动时仍然加载，依然监视、改写注册表；

  采用网络升级方式；该病毒为了防止用户以及杀毒软件的杀除，采取定期网上升级的方式，这点与近期的其他Windows主流病毒类似，但值得一提的是该病毒建有公开的病毒升级站点www.3721.com，且站点风格酷似门户、服务类站点，具有极大的欺骗性；

  以驱动模式加载；该特性可说是近段时期以来病毒编写的一次技术飞跃，采用驱动模式加载配合挂接hook的方式，在windows下极难查杀（详细技术讨论见后）；

  提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁，看来新的病毒越来越多地喜欢提供一些另类功能了；

  被动方式传播：利用一些站点来进行传播，而不是主动感染其他机器，这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动，可说是今年一些病毒的新特点。  病毒详细分析：

  当用户访问站点的时候，弹出一个控件下载窗口提示用户下载安装，表面上称自己是提供中文实名服务，引诱用户安装；

  在安装过程中多处修改用户文件及注册表；

  添加文件：

  在Documents and SettingsAll Users「开始」菜单程序网络实名 目录下添加：

  了解网络实名详细信息.url 86 字节
  清理上网记录.url 100 字节
  上网助手.url 99 字节
  卸载网络实名.lnk 1,373 字节
  修复浏览器.url 103 字节

  在WINDOWSDownloaded Program Files 下添加：

  assis.ico 5,734 字节
  cns02.dat 1,652 字节
  CnsHook.dll 56,320 字节
  CnsMin.cab 116,520 字节
  CnsMin.dll 179,712 字节
  CnsMin.inf 378 字节
  sms.ico" 6,526 字节
  yahoomsg.ico 5,734 字节

  在WINDOWSSystem32Drivers 目录下添加：

  CnsminKP.sys

  添加注册表键值：

  增加HKEY_LOCAL_MACHINESOFTWARE3721 主键，下设多子键及属性值；

  在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主键下增加


两个子键

  在HKEY_LOCAL_MACHINESOFTWAREClasses主键下增加
  CnsHelper.CH
  CnsHelper.CH.1
  CnsMinHK.CnsHook
  CnsMinHK.CnsHook.1四个子键

  在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主键下增加
子键

  在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主键下增加



  在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主键下增加!CNS子键

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主键下增加




五个子键

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionExplorerShellExecuteHooks主键下增加
子键

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun下增加
CnsMin子键

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunOnce下增加
EK_Entry 子键 （提示，这个键将在下次启动机器的时候生效，产生最令人头疼的部分，后文会叙述）

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionUninstall下增加CnsMin 子键

  在HKEY_CURRENT_USERSoftware下增加3721子键

  在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加
  CNSAutoUpdate
  CNSEnable
  CNSHint
  CNSList
  CNSMenu
  CNSReset

  在重新启动计算机后，上面提到的RunOnce下的EK_Entry生效，在注册表中多处生成最为邪恶的CnsMinKP键值，同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件，噩梦由此开始。

  由于win2k/xp在启动的时候（包括安全模式）默认会自动运行windows/system32/drivers下面的所有驱动程序，于是CnsMinKP.sys被加载，而这个驱动的作用之一，就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除；Cnshook.dll的作用则是提供中文实名功能，CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高，用了一个定时器函数反复安装钩子，因此造成系统性能下降，在天缘测试的那台机器上，使得性能大概下降了20%左右。而且由于hook强行挂接的原因，当用户使用断点调试程序的时候将会导致频繁出错，这一点与早期版本的cih导致winzip操作和无法关机类似（关于详细的技术细节，可参看题目为《[转载]3721驻留机制简单研究》一文，地址为 http://www.nsfocus.net/index.php ... view&doc_id=894 原作者Quaful@水木清华）

  防删除特性：

  该病毒虽然自带一个所谓的“卸载程序”，但事实上核心部分的程序/注册表键值依然没有删除。而且该病毒更是利用各种技术手段，具有极其强大的反删除特性。

  windows系统启机（包括安全模式下）便会加载windows/system32/drivers下的CnsMinKP.sys，该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时，直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。

  技术亮点：

  天缘不得不承认，3721这个病毒插件可称我作为网管以来面对的最难清除的病毒。近几年来病毒有几次质的突破：cih感染可升级的bios、红色代码打开windows的共享扩大战果、meliza让我们见识了什么是看得到源程序的病毒、mssqlserver蠕虫让我们留意到计算机病毒能攻击的不光是节点还有网络设备、冲击波病毒让我们认识到大量使用同一种操作系统时在出现安全漏洞时的可怕、美女图片病毒让我们知道了将欺骗艺术与软件漏洞结合的威力、而这次3721病毒首次展现了病毒强大的反删除特性，可说是在windows环境下无法杀除的病毒。虽然这是个良性病毒，对系统并没有破坏特性，但依据病毒的发展史，可以预见，这种几近完美的反删除技术将很快被其他病毒所利用，很快将被其他病毒所利用。届时结合网络传播，局网感染带强大反删除功能的病毒或许会让目前windows平台下的杀毒软件遭遇到最大的考验。而这次经历，也让我意识到微软的windows操作系统在人性化、美观化、傻瓜化的背后的危机。作为it同行，我个人对3721病毒作者所使用的种种技术表示钦佩，但新型病毒的潘多拉魔盒，已经被他们打开。

  在目前已知的病毒历史上，之前只有几种病毒利用过windows nt下的system32/drivers 下的程序会被自动加载的特性来进行传播，但那些病毒本身编写地不够完善，会导致windows nt系统频繁蓝屏死机，象3721插件病毒这样完美地加载、驻留其他进程，只消耗主机资源，监测注册表及关键文件不导致系统出错的病毒，国内外尚属首次，在技术上比以前那些病毒更为成熟；

  如同天缘和大家曾经探讨过的没打sp2以上patch的win2k如何上网下载sp4再安装补丁这样的连环套问题一样。由于drivers目录下的CnsMinKP.sys启机必定加载，而欲不加载它，只有在windows启动后，进注册表改写相应的CnsMinKP键值或者删除该文件，但由于CnsMinKP.sys过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时，直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。使得注册表无法修改/文件无法被删除，让我们传统的杀除病毒和木马的对策无法进行。

  驻留ie进程，并自动升级，保证了该病毒有极强大的生命力，想来新的杀除方法一出现，该病毒就会立即升级。Windows上虽然还有mozilla等其他浏览器，但由于微软的捆绑策略和兼容性上的考虑，绝大多数用户一般只安装有ie。上网查资料用ie，寻找杀除3721资料的时候也用ie，如此一来，3721抢在用户前面将自身升级到最新版本以防止被杀除的可能性大大增加，更加增添了杀除该病毒的难度。或许在本文发出后，病毒将会在最短时间内进行一次升级。

  附带其他“实用”功能。天缘记得早年在dos下的时候曾遇到一些病毒，在发作的时候会自动运行一个可爱的屏幕保护，或者是自动替用户清理临时文件夹等有趣的功能；后来在windows平台上也曾见过在病毒发作时自动提醒“今天是xx节，xx年前的今天发生了xx历史典故”这样的带知识教育意义的病毒；而3721病毒则是提供了一个所谓的中文域名与英文域名的翻译功能。随着病毒的发展，这样带隐蔽性、趣味性和欺骗性的病毒将越来越多。例如最近的邮件病毒以微软的名义发信，或以re开始的回信格式发信，病毒编写的发展从原来的感染传播、漏洞传播、后门传播逐步向欺骗传播过渡，越来越多的病毒编写者意识到社会工程学的重要性。或许在不久的将来，就会出现以简单的网络游戏/p2p软件为掩饰的病毒/木马。

  极具欺骗性：该插件在win98下也能使用，但使用其自带的卸载程序则可比较完美地卸载，而在win2k/xp平台下卸载程序则几乎没用。由此可以看出病毒编写者对社会工程学极其精通：当一个人有一只表时他知道时间；而当他有两只表时则无从判断时间。当在论坛/bbs上win2k/xp的用户提到此病毒无法删除的时候，其他win2k/xp用户会表示赞同，而win98用户则会表示其不存在任何问题属于正常程序的反对意见。两方意见的对立，影响了旁观者的判断。

  商业行为的参与。据传该病毒是由某公司编写的，为的是进一步推销其产品，增加其访问量和申请用户。这点上与某些色情站点要求用户下载xx插件，之后不断利用该插件弹出窗口进行宣传的方式很象。天缘不由得想起一个典故。话说当年某公司公司工作人员（当然也有可能是不法者冒充该公司的工作人员）经常打电话恐吓大型的企业单位，无外乎说其中文域名已被xx公司抢注，如不交钱将会导致xx后果云云。兄弟学校中似乎也有受到此公司骚扰的经历：该公司员工打电话到某高校网络中心，起初是建议其申请中文域名，其主任很感兴趣但因价格原因未果。第二次打来的时候，就由劝说变成了恐吓，说该校中文名字已经被xx私人学校注册，如果该校不交钱申请就会有种种可怕后果云云。谁想该校网络中心主任吃软不吃硬，回话：“你既然打电话到此，想来你也知道在中国，xx大学就我们一所是国家承认的，而你们公司在没有任何官方证明的情况下就替申请我校中文域名的私人学校开通，就这点上就可见你们的不规范性，那么如果我私人交钱申请xxx国家领导的名字做个人站点是不是贵公司也受理？遇到类似冒用我校名义行骗及协助其行骗的公司，我们一贯的做法是寻找法律途径解决！”回答甚妙，当然此事后果是不了了之。从相关报道中不难看到，计算机犯罪逐步开始面向经济领域。侵犯私人隐私，破坏私人电脑的病毒与商业结合，是病毒编写由个人行为到商业行为的一次转变，病毒发展的历史由此翻开了新的一章。

  病毒查杀方案：

  由于网管专题的栏目作用主要是“授人与渔”，天缘把病毒查杀过程经历一并写下，大家共同探讨。

  第一回合：

  当初见此病毒的时候，感觉不过如此，普通木马而已。依照老规矩，先把注册表里相关键值删除，再把病毒文件一删，然后重新启动机器，等待万事ok。启机一看，注册表完全没改过来，该删除的文件也都在。

  结局：病毒胜，天缘败。

  第二回合：

  换了一台机器，下了个卸载帮助工具，以方便监视注册表/文件的改变。我下的是Ashampoo UnInstaller Suite这个软件，能监视注册表/文件/重要配置文件。Ok，再次安装3721插件，把对注册表的改变/文件的改变都记录下来。（值得注意，因为注册表run和runonce的键是下次启动的时候生效的，因此在重新启动后，还要对比一下文件/注册表的改变才能得到确切结果）。然后对比记录，把3721添加的键全部记下来，添加的文件也记录下来。之后我计划是用安全模式启动，删除文件和注册表，所以写了一个save.reg文件来删除注册表里的相关键值（写reg文件在网管笔记之小兵逞英雄那讲有介绍，等一下在文末我提供那个reg文件给大家参考），写了一个save.bat来删除相关文件，放到c盘根目录下。重新启动机器，进入安全模式下，我先用regedit /s save.reg 导入注册表，然后用save.bat删除相关文件。重新启动机器，却发现文件依然存在，注册表也没有修改成功。通常对付木马/病毒的方式全然无效，令我产生如临大敌之感。

  结局：病毒胜，天缘败。

  第三回合：

  重新启动机器，这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys，WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当，准确地说法是——删除之后没有任何错误报告，但文件依然存在。于是上网用google找找线索——在绿盟科技找到了一则文章（名字及url见前文），于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么，只要能开机不加载它不就行了？？但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动，而如果想要取消加载，则需要修改注册表，但由于在加载了CnsMinKP.sys后修改注册表相关值无效，导致无法遏制CnsMinKP.sys这个程序的加载。当然，有软驱的朋友可以利用软盘启动的方式来删除该文件，但如果跟天缘一样用的是软驱坏掉的机器怎么办呢？记得绿盟上的文章所说的是——“目前无法破解”。在这一步上，天缘也尝试了各种方法。

  我尝试着改这几个文件的文件名，结果没成功；

  我尝试着用重定向来取代该文件，如dir * > CnsMinKP.sys ，结果不成功；

  我尝试着用copy con <文件名> 的方式来覆盖这几个文件，结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功，但是在覆盖CnsMinKP.sys和CnsMin.dll的时候，居然提示“文件未找到”！？熟悉copy con用法的朋友都该了解，无论是文件是否存在，都应该是可以创建/提示覆盖的，但居然出来这么一个提示，看来CnsMinKP.sys着实把系统都骗过了，强！！跟它拼到这里的时候，回想到了在dos下用debug直接写磁盘的时代了，或许用它才能搞定吧？

  仔细一想，win2k/xp下似乎没有了debug程序了，而或许问题解决起来也不是那么复杂。再又尝试了几种方法后，终于得到了启示：既然文件不允许操作，那么***作目录如何？

  我先把windowssystem32drivers目录复制一份，取名为drivers1,并将其中的CnsMinKP.sys删除（注意，因为是drivers1中的，所以可以被成功地真正删除掉）；

  重新启动机器，到安全模式下；

  用drivers1目录替代原来的drviers目录
  cd windowssystem
  ren drivers drivers2
  ren drivers1 drivers

  之后重新启动机器，然后进到windows后先把drivers2目录删除了，然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件，方便各位删除注册表：

  Windows Registry Editor Version 5.00（用98的把这行改成regeidt4）

  [-HKEY_LOCAL_MACHINESOFTWARE3721]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
  [-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions!CNS]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionUninstallCnsMin]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
  [-HKEY_CURRENT_USERSoftware3721]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionExplorerShellExecuteHooks\]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunCnsMin]
  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceEK_Entry]
  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]
  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]
  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]
  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]
  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]
  [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]

  结局：病毒败，天缘胜。

  （虽然是成功地删除了它，但是感觉赢得好险，如果该病毒加一个禁止上级文件改名的功能那么就真的没折了，为了预防类似的情形，最后还是找到了彻底一点的办法，见下）

  第四回合：

  聪明的读者大概已经想到，既然没有办法在硬盘启动对于c盘是fat32格式的机器，想到这里已经找到了解决办法——用win98启机软盘启动机器，然后到c盘下删除相关文件，然后启动到安全模式下用save.reg把注册表搞定就行了。问题是——大多数win2k/xp都使用的是新的ntfs格式，win98启机软盘是不支持的！怎么办？有软驱的机器可以做支持NTFS分区操作的软盘，用ntfsdos这个软件就能做到。而跟天缘一样没有软驱的朋友，别忘记了win2k/xp开始加入的boot，不光是能够选择操作系统而已，而是跟linux下的lilo和grub一样，是一个操作系统引导管理器——换句话说，如果我们能在硬盘上做一个能读写NTFS的操作系统，再用boot进行引导，那么不是就可以在无软驱的情形下实现操作c盘的目的了么？在网络上找到vFloppy.exe 这个软件，它自带一个支持读写ntfs的镜象文件，并且使用简单，非常傻瓜化。然后删除3721的相关文件，重新启动后清理注册表和删除相关文件就行了。

  到此，我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘！！

  由于不少网站基于各种原因，在显示页面的时候都会弹出3721的下载窗口，很容易误点。在ie中就能屏蔽掉该站以及其他恶意的任何下载。

  截止发稿为止，天缘所知不少同行网管已经在网关上做了对该地址的屏蔽，防止不知情的用户无辜受害。网络安全任重道远，还要*大家的努力才能把一些害群之马斩草除根。
现提供一个小东东。把3721搞定
http://bbs.tkbbs.com/down/wy/uninst3721.rar

灰鸽子病毒手工清除方法[多图]
信息源:瑞星公司
作者:刘明星
  
灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理

  灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

  G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的
Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、
G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为
G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为
A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

  Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动
G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；
G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的手工检测

  由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

  但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

  由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe
Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。


2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。


4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。


经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。另外，如果你发现了瑞星杀毒软件查不到的灰鸽子变种，也欢迎登陆瑞星新病毒上报网站（http://up.rising.com.cn）上传样本。
灰鸽子的手工清除

  经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。
一、清除灰鸽子的服务
  
2000／XP系统：
  1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
  
2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。


3、删除整个Game_Server项。
  
98／me系统：

  在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。


二、删除灰鸽子程序文件

  删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

小结
  
本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。


同时随着瑞星杀毒软件2005版产品发布，杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力，灰鸽子病毒可以被安全有效地自动清除，需要用户手动删除它的机会也将越来越少。

你的有些链接失效  可以选用  所见所得编辑器 来干掉其链接