瑞星卡卡安全论坛

收到你的样本WinZip_tmp.exe。卡巴斯基报E-mail.Worm.Win32.Nyxem.e，是蠕虫；而不是后门。查杀流程如下
1、删除病毒文件：
见附图。
2、清理注册表：
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："ScanRegistry"="scanregw.exe /scan"

3、重新安装杀毒软件（这个蠕虫删除大多数杀软的文件，导致杀软不能运行）。

附件: 1558472006124193932.jpg

看来这个病毒花招不是很多

Nyxem.e

一个恶意蠕虫，千万小心，不然会对用户造成不顾估量的损失，详情看置顶的版主本月安全提示我今天更新的内容。

引用:

【天天泡泡的贴子】Nyxem.e 一个恶意蠕虫，千万小心，不然会对用户造成不顾估量的损失，详情看置顶的版主本月安全提示我今天更新的内容。 ...........................

有TPF的DIY规则保护，我只损失了卡巴的kavsvc。
这只蠕虫一开始就疯狂删除多个杀软的注册表项。蠕虫运行/释放文件/添加启动项后，开始删除C盘文件。被TPF阻止后——死机。重启系统后，蠕虫被SSM发现并阻止。

【回复“baohe”的帖子】
把你自定义的规则共享一下好不？我的还是默认的呢

引用:

【天天泡泡的贴子】【回复“baohe”的帖子】 把你自定义的规则共享一下好不？我的还是默认的呢 ...........................

DIY 规则，不是不愿共享，而是不敢随便与人共享。这些DIY规则，都我自己是针对特定问题设立的。有时，会影响其它应用。怎么处理，只有DIY者自己明白。
比如下图的DIY规则，就是禁止任何程序删除%WINDOWS%及其子目录中的任何文件。加了这条规则，以后删除病毒文件时，必须暂时禁用TPF的WINDOWS SECURITY。 否则，你根本不能删除%WINDOWS%及其子目录中的病毒文件。

附件: 1558472006124213255.jpg

设好那条规则后，在Access to Files and Folers面板看到的是——

附件: 1558472006124213515.jpg

其实DIY规则我大致能看明白，真要自己动手编制规则还需要时间。

关于IDS／IPS那部分，有什么特别的规则需要提醒注意添加的吗？

【回复“天天泡泡”的帖子】
IDS／IPS部分——只能用现成的，不能更改。TPF升级时，有可能更新这部分内容（SNORT）。

引用:

【baohe的贴子】【回复“天天泡泡”的帖子】 IDS／IPS部分——只能用现成的，不能更改。TPF升级时，有可能更新这部分内容（SNORT）。 ...........................

需不需要将那部分规则全部启用？

【回复“天天泡泡”的帖子】
我全部启用了。
不过，我认为，其“access”部分应当改一下（用Globle Edite）——全部改为Prevent。

附件: 1558472006124214953.jpg

【回复“baohe”的帖子】
呵呵，现在全是Monitor，我的图上怎么没有你的那个“back to default sorting”

引用:

【天天泡泡的贴子】【回复“baohe”的帖子】 ......我的图上怎么没有你的那个“back to default sorting” ...........................

刚仔细看了一下：那是用过Globle Edite后才有的。如果不编辑规则，就没有那个选项。

难道我的这些规则没有启用？

附件: 2535952006124220036.JPG

【回复“天天泡泡”的帖子】
这不是问题。12楼重新回复了。

【回复“baohe”的帖子】
呵呵，跟我想的一样，我刚刚还在想是不是因为我没有更改过设置。这个的高级应用以后慢慢接着学，先闪人了，晚安！