backdoor.hupigon.32981

backdoor.hupigon.32981

木马，灰鸽子。

注意：以下清除顺序不可以随意调整。

1.删除灰鸽子服务端程序

由于在Windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入纯DOS状态删除，删除命令如下：

cd c:windowssystem

attrib-r-s-h kernel32.exe

attrib-r-s-h notepod.exe

del kernel32.exe

del notepod.exe

还要注意，如果灰鸽子服务端设置了exe 文件关联的话，将会导致注册表编辑器无法运行，所以在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命令如下：

ren c:windows egedit.exe regedit.com

2.删除注册表中启动键

由于我们改了注册表编辑器名称，所以要打开注册表编辑器应为：打开”开始“菜单”中的“运行”然后输入“regedit.com.启动注册表编辑器后，依次打开“HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrent VersionRun，在右边的窗口中删除名称为”Loadwindows的键值就可以了。

清除文件关联

灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在。

1.解除exe关联：

启动注册表编辑器，然后找到HKEY_CLASSES_ROOTExefileshellOpenCpmmand主键，查看起默认的键值是不是系统默认的“%1%*”，如果被修改，则改成默认值.

2.解除txt关联：

打开注册表的HKEY_CLASSES_ROOT xtfileshellopencommand主键，其默认值的正常参数应该为“C：windows otepad.exe%1,如果不是，请修改为正确数据。

3.解除ini关联：

INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOTInffileshellOpenCpmmand主键下，其默值数据也是“C：windows otepad.exe%1”，如果被修改的话，也要改回来。

4解除inf关联：

打开注册表的HKEY_CLASSES_ROOTInffileshellOpenCpmmand主键，和ini,txt文件关联一样，其默认值也是“C：windows otepad.exe%1”，如果被修改，也要立刻改回正确的数据。

至此，灰鸽子已经被你扫地出门了，你不再担心成为别人盘中餐”了。

参考资料：

真封神单机版服务端

%D5%E6%B7%E2%C9%F1