一.灰鸽子的手工检测 由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务 项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外 ，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难 。但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从 上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会 在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我 们可以较为准确手工检测出灰鸽子 服务端。 由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模 式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前 ，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件 。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”， 取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中 选择“显示所有文件和文件夹”，然后点击“确定”。 2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选 择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。 3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为 Game_Hook.dll的文件。4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操 作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这 两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。 　 经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就 可以进行手动清除。 二、灰鸽子的手工清除 经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下 操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。 注意：为防止误操作，清除前一定要做好备份。 （一）、清除灰鸽子的服务注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉 的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表 文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联 2000／XP系统： 1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe” ，确定。）