瑞星卡卡安全论坛

进入9月份以来，中灰鸽子的求助帖子骤然增多。
现在流行的灰鸽子版本繁多，还不时有新版本出现。感染系统后，灰鸽子的DLL或DAT插入系统当前的多个进程中。因而，这个木马很难杀。中招后，很多杀软（包括卡巴斯基这样的名杀软）都不能顺利搞掂这个木马。目前最有效的方法还是手工查杀。
不同版本的灰鸽子，手工查杀方法有所不同，且手工查杀操作涉及几种工具的使用，不是一般采鸟所能立即掌握的。因此，很多网友询问——有没有什么办法可以预防系统感染灰鸽子。
答案是：有。用SSM就可以。

下载后，解压RAR包，点击那个EXE文件，按提示正确回答，即可完成安装。安装过程很简单。

下一步，是很多人常问的问题——如何设置SSM。其实，为了预防感染木马/病毒而使用SSM，其设置非常简单，勾选图1所示的三个复选框，再勾选图7中的选项，保证SSM启动加载即可。
完成这些简单的基本设置，以后，每当有病毒木马遛进你系统时，SSM都会提示你。

关于SSM的设置，还有更进一步的内容，这里不做进一步说明。想了解SSM详细设置者，请看这里——http://www.cfan.com.cn/pages/20050901/2534.htm，讲得很详细。


接下来看看个SSM预防灰鸽子的效果（见图2-图6）。

当然了，SSM提防的不仅仅是灰鸽子。其它木马感染系统时，SSM也会报警。前提是——你的SSM使用、设置没有不当之处。
注意：SSM——系统安全监控器。它不是杀毒软件，也不是网络防火墙。关于SSM的简介，请看：http://forum.ikaka.com/topic.asp?board=33&artid=5947503


图1
SSM最基本的设置

附件: 155847200592102225.jpg

图2
灰鸽子刚刚进入系统，即被SSM发现。这时，按F2键，完全可以阻止灰鸽子进入系统。

附件: 155847200592102332.jpg

图3
到这步，灰鸽子的文件已经拷入系统。此时，如果你按F2键或点击“总是阻止该操作”，还为时不算太晚。 灰鸽子尚未注册为系统服务。

附件: 155847200592102408.jpg

图4
鸽子已经完成系统感染的绝大部分。这步是要插入IE浏览器。如果这时按F2，阻止其插入，以后的杀毒操作会简单些。

附件: 155847200592102454.jpg

图5

灰鸽子调用CONIME.EXE，完成最后的感染步骤。

附件: 155847200592102542.jpg

图6
这里不但告诉你灰鸽子添加了那些注册表项，还告诉你：灰鸽子创建的病毒文件及其所在路径。

这时，分别点击面板中提示的两个项目并按F2键，可以阻止灰鸽子添加启动加载项。然后，立即重启系统，删除灰鸽子创建的那两个文件，即可杀死已经进入系统的灰鸽子。

附件: 155847200592102624.jpg

谢谢楼主·
收了·

图7

附件: 155847200592104232.jpg

版主怎么 打开注册表编辑器啊

谢谢楼主！那如果我的电脑中Backdoor.Gpigeon这个病毒，怎么用比较简单的方法把它杀掉！谢谢回复！

引用:

【futuramn2005的贴子】谢谢楼主！那如果我的电脑中Backdoor.Gpigeon这个病毒，怎么用比较简单的方法把它杀掉！谢谢回复！ ...........................

灰鸽子的版本较多。查杀方法各异。一旦中了，目前最有效的查杀方法还是手工查杀。

一般顺序是：
1、先用HijackThis1.99.1扫系统日志
2、请别人帮助辨认日志中的灰鸽子
3、根据日志提示的灰鸽子启动加载项和灰鸽子文件所在位置，进行手工杀毒。

引用:

【电脑沦陷了的贴子】版主怎么 打开注册表编辑器啊 ...........................

点击：开始、运行。键入regedit，按回车。

班竹，我个人建议！“监控程序活动”这项如果不是在试样本的最好不开，否则开任何东西都有提示，麻烦！！
还有SSM中有个小方框怎么去掉（如图）

附件: 559820200592191443.JPG

引用:

【独孤豪侠的贴子】班竹，我个人建议！“监控程序活动”这项如果不是在试样本的最好不开，否则开任何东西都有提示，麻烦！！ ...........................

“监控程序活动”是SSM的核心功能。如果不让它活动，还不如卸载SSM。
你的问题可以按下图设置解决。不能因为自己使用不当而“削足适履”。

附件: 155847200592192634.jpg

可这是样总是允许也不好呀！
我一般只在试别人发的样本时才开这个。
呵呵~~是不是很懒呀~

【回复“独孤豪侠”的帖子】
至于那个小方框的问题，可能是英文版的一个BUG。以前，我也遇到过。装了“汉化新世纪”的汉化版后，此现象消失。

有个问题，打开任一程序，就会出来图2样子的应用程序活动窗口，让你选择如何处理，但你怎么判定它是灰鸽子病毒呢

【回复“baohe”的帖子】装了“汉化新世纪”的汉化版后
这玩意哪有？？
还有，昨天叫你帮忙看的求助贴帮忙看了没有？？？

【回复“梦想成为高手”的帖子】那是正常的。照班竹13楼说的做就行了。

学习中....非常感谢！！

引用:

【梦想成为高手的贴子】有个问题，打开任一程序，就会出来图2样子的应用程序活动窗口，让你选择如何处理，但你怎么判定它是灰鸽子病毒呢 ...........................

第一次启用SSM，如果运行的是你自己系统中的正常程序，可以选择“总是允许该操作”。以后，再运行此程序时，不会再有任何提示（除非其MD5值被改）。
如果你不能确定运行的程序是否正常，可以按F4（仅在这次允许该操作）。如果是自己系统的正常程序，运行后，绝不会出现图6的警告。正常的应用程序，在安装时，已经完成了注册表的写入。以后运行时，不会再更改注册表。当然了，有时正常应用程序升级，也会导致注册表更改。但升级程序，是你自己主动操作的，这种注册表更改，并不意外。
即使因为按了F4，导致病毒运行了，见到了图6的警告，也为时不晚。
这时，按下F2，阻止病毒更改注册表，按提示的文件路径删除病毒文件即可。

另外，你可以仔细看看图3。NT系统的“服务”在什么位置？在%system%中；那个“Windows T1me”在哪儿？在%windows%里面！这正常吗？当然不整常。
使用SSM监控程序活动，重要的是看“下列应用程序”、“已经启动该应程序”这两个窗口的提示内容。仔细观察这两个窗口的提示，总是可以发现异常情况的。

引用:

【独孤豪侠的贴子】【回复“baohe”的帖子】装了“汉化新世纪”的汉化版后 这玩意哪有？？ 还有，昨天叫你帮忙看的求助贴帮忙看了没有？？？ ...........................

有还是没有回个话呀~~~~~~

装SSM和卡巴斯基等杀软、防火墙之类的不会有冲突吧?

引用:

【还是来晚了的贴子】装SSM和卡巴斯基等杀软、防火墙之类的不会有冲突吧? ...........................

我的系统是XPSP2。SSM和卡巴斯基、TPF2005防火墙均无冲突。

哦，明白！
还有，是不是进程里有conime.exe都不正常？

斑竹，我装了这个SSM提示我只能用到12月份啊！
而且我设置成作为服务器开启之后，开机就提示有另一个SSM已经运行！
不知道大家有没有类似的情况

没碰到过~~~~~~
好像没什么使用时间限制吧~~~
SSM能升级吗？？？？

引用:

【jijip的贴子】斑竹，我装了这个SSM提示我只能用到12月份啊！ 而且我设置成作为服务器开启之后，开机就提示有另一个SSM已经运行！ 不知道大家有没有类似的情况 ...........................

那只是个提示而已。其潜台词是——12月后，可能有新版本出来。到时候，换不换新版，全在你自己。 不换新的，旧版也照样能用。考虑那么多干吗？累！！

引用:

【还是来晚了的贴子】哦，明白！ 还有，是不是进程里有conime.exe都不正常？ ...........................

未必

呵呵，谢谢班竹，我的已经汉华了。