说到木马，最令人恶意和恐惧的应该就是远程控制木马了，想象一下，当你欢快地操作着电脑，和MM聊得火热的时候，背后正有一双邪恶的眼睛盯着你的一切，这种感觉是不是让人毛骨悚然呢?而在远程控制木马中，最令国内用户熟知的应该就是“灰鸽子”木马了。作为国内远程控制木马的鼻祖，“灰鸽子”历经数年，更新了无数个版本，直至今日仍然是网络上的头号公敌。本期就让我们来学习一下“灰鸽子”木马的手工清除方法。

　　★编辑提示：“灰鸽子”的前世今生

　　“灰鸽子”是国内著名的远程控制木马。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。

　　为什么“灰鸽子”会成为网络公敌?这与其强大的功能是分不开的。首先是反弹连接功能，“灰鸽子”是国内首款使用反弹连接功能的远程控制木马，突破了传统主动连接方式木马的弊端，该功能让“灰鸽子”一下子成为了国内黑客的首眩其次是其隐藏性，“灰鸽子”诞生之初，即以超强的隐藏性和反查杀能力令杀毒软件厂商头痛不已，最终只得发布专杀工具才得以清除。

　　2007年以后，“灰鸽子”系列木马停止了开发，但是其爱好者并不甘愿这一著名品牌就此没落。直至今日，“灰鸽子”仍然在不断更新，当然这都是爱好者自行开发和修改的结果。

　　为什么说“灰鸽子”很难清除呢?这是因为“灰鸽子”采用了驱动技术，在Windows中的权限很高，因此杀毒软件在对其进行查杀后，只要系统一重启，“灰鸽子”就会死灰复燃。其实，要想对付“灰鸽子”，掌握手工查杀的技术，比使用任何杀毒软件都有效。下面我们就来看看如何手工删除“灰鸽子”。

　　结束进程

　　要让运行着的“灰鸽子”失效，首先第一步就是结束“灰鸽子”的进程。当然，用Windows自带的“任务管理器”是不行的，功能太弱，不给力。我们得请出专业的安全工具“冰刃”。双击运行“冰刃”，点击“进程”按钮对当前系统中的进程进行检测。

　　通常在这里我们会碰到两种情况，一种是进程列表中出现了一个红色字体的进程，这是因为早期的“灰鸽子”会对系统进程进行dll注入。另一种情况是伪造的系统进程，例如svchost.exe，正常的svchost.exe在冰刃中看起来会是一个空白的图标，而假的svchost.exe看起来会是一个小电脑的图标。如果程序名本身就比较可疑，那么这是最好不过的了，一眼就能认出来，例如本例中的“.exe”。找到后在进程上点右键，选择“结束进程”即可。这样“灰鸽子”就暂时无法运行了。

　　▲“灰鸽子”的进程

　　停止服务

　　结束了进程，为了让其无法自动启动，我们还要禁止其进程。点击“开始”菜单→“运行”，输入“msconfig”运行“系统配置实用程序”，切换到“服务”标签，勾选下方的“隐藏所有Microsoft服务”选项。这样非Windows系统的服务就被列出来了，我们要从中寻找可疑的服务，本例中为“Windows”。

　　▲“灰鸽子”的服务

　　我们回到“冰刃”，进入到“服务”功能，找到“Windows”服务对应的应用程序恰恰就是“.exe”，位于C:Windows目录。可见，这就是“灰鸽子”的服务。

　　▲禁用“灰鸽子”服务

　　接下去就好办了。在“Windows”服务上点右键，选择“禁用”。然后再进入C:Windows目录，删除.exe文件。这样“灰鸽子”就被彻底清除了。其实不光是“灰鸽子”，其他的远程控制木马也都可以按照这样的步骤来手工删除。