瑞星卡卡安全论坛

对了我还想问一下呢.你们那里的010-82678800 工程师不会是你们吧,上次问一点小小事情都解觉不了..花了我10分钟的长途费.....

我们都只是小网民而已。

从没见瑞星的来过这里冒个泡

问题其时就出在猫猫说的那最后一步:

如果杀软启动仍是问题，至少，也应该用合适的工具打开非系统分区（切记不要直接双击打开），查找有无异常文件。如果有————删！

我就算是看到病毒它认识偶不认识它...我灰复过了一次,开始2分钟之前OK的,操纵还可以,过了一会~~~~~~~~~~~~~电脑不动了...

引用:

【xin01的贴子】问题其时就出在猫猫说的那最后一步: 如果杀软启动仍是问题，至少，也应该用合适的工具打开非系统分区（切记不要直接双击打开），查找有无异常文件。如果有————删！ 我就算是看到病毒它认识偶不认识它...我灰复过了一次,开始2分钟之前OK的,操纵还可以,过了一会~~~~~~~~~~~~~电脑不动了... ………………

我猜测，可能又是那类通过移动介质传播的DD。
建议：一键恢复系统后，先不要做其它操作。
用WINRAR打开非系统分区根目录，找autorun.inf。如果能找到，可以双击打开，看看autorun.inf的内容（能发现病毒的可执行文件.exe）。然后，用WINRAR一一删除。

引用:

【xin01的贴子】对了我还想问一下呢.你们那里的010-82678800 工程师不会是你们吧,上次问一点小小事情都解觉不了..花了我10分钟的长途费..... ………………

误会哈！
论坛这里的————都是普通的用户，没有瑞星的人。

在开始菜单.运行里面键入.WINRAR吗?  如果找到AUTORUN.INF 双击打开.如果没有找到呢...

引用:

【xin01的贴子】在开始菜单.运行里面键入.WINRAR吗?  如果找到AUTORUN.INF 双击打开.如果没有找到呢... ………………

开始、运行。
键入cmd，按回车。
然后用cd命令切换到WINRAR目录，键入WinRAR.exe，按回车，就行了（图）。

附件: 155847200762165542.jpg

早几天看见这个就不用花钱，恢复以前的了。

晕是啊跟我一样,我都花了.50元钱装了一个.不过这个有用,我记起来.等我这个不想用的时后我就灰复一下按你说的操作...只不过要在麻烦猫猫搞细一点我手抄一份起来.下次备用了..偶明天上来看.现在要关门了...

引用:

【小名的贴子】早几天看见这个就不用花钱，恢复以前的了。 ………………

恢复系统，还要花钱？
怎么那么黑啊？
凭这点儿“本事”也能挣钱？

还50大洋呢？

猫猫！

你也开钱吧

呵呵！！！！！！

装了一个系统,他说偶的是本本~!要50元.一班的台试只要30元.  ^-^

学习，在这里我想请教一下baohe.....
  在运行那个8位数随机样本的时候，我发现它确实阻止了tiny(是我哪里设置有误？？)
  说一下具体情况-------运行样本，任务栏的图标还是存在，但是TrackLog Analyze, Activity Monitor ,Tiny管理中心已经打不开了，我用的是Track’n Reverse的模式，设置见后图所示，后面用Run with Default Security也不能监测到其病毒的行为特征.....


附件: 783343200762172017.jpg

这一张是Active Guards...


附件: 783343200762172402.jpg

引用:

【菜鸟玩病毒的贴子】学习，在这里我想请教一下baohe.....   在运行那个8位数随机样本的时候，我发现它确实阻止了tiny(是我哪里设置有误？？)   说一下具体情况-------运行样本，任务栏的图标还是存在，但是TrackLog Analyze, Activity Monitor ,Tiny管理中心已经打不开了，我用的是Track’n Reverse的模式，设置见后图所示，后面用Run with Default Security也不能监测到其病毒的行为特征..... ………………

关于Tiny的这个设置：
1、若Priority设置为Low，这条规则基本没什么用（对付以前的小病毒可能还凑合）。应该选择High。
2、Application runs under system account一栏应选择both system and non-system。
3、其它的————参考图5。

引用:

【baohe的贴子】 关于Tiny的这个设置： 1、若Priority设置为Low，这条规则基本没什么用（对付以前的小病毒可能还凑合）。应该选择High。 2、Application runs under system account一栏应选择both system and non-system。 3、其它的————参考图5。 ………………

【回复“baohe”的帖子】
这条设置以上的规则我只设置了2个组，一个是Installation,一个是 User Trusted ，见下图
问题是我并没有把样本规划到这2个组里面......

另：Priority设置为high,也一样，我试过了.....
Application runs under system account一栏我选择的是both system and non-system

图5我先尝试一下看看。。但是可能会看不到样本的行为


附件: 783343200762173325.jpg

引用:

【baohe的贴子】 恢复系统，还要花钱？ 怎么那么黑啊？ 凭这点儿“本事”也能挣钱？ ………………

猫叔体会到初级新手的苦恼了吧.请人帮忙不管问题大小,反正上门费就是50块.

引用:

【菜鸟玩病毒的贴子】 【回复“baohe”的帖子】 这条设置以上的规则我只设置了前面的只有2个组，一个是Installation,一个是 User Trusted ，见下图 问题是我并没有把样本规划到这2个组里面...... 另：Priority设置为high,也一样，我试过了..... ………………

你这个图里面High Priority Rules是空的。可知：你这条规则的权限没有选择high。
另： 如果注册表防护规则设置恰当（Tiny的registry部分），且这条规则按下图设置，用Track'nReverse玩儿这个8位数病毒，没什么问题。
新变种开始删除安全软件的注册表服务项了。中招后，即使手工杀掉病毒，杀软、防火墙...还是不能正常运行。需要用先前备份的注册表项恢复才行。

附件: 155847200762174307.jpg

tiny的注册表防护设置应该包括下面3幅图的内容：

1、

附件: 155847200762174705.jpg

2、

附件: 155847200762174744.jpg

【回复“baohe”的帖子】
high确实设置过了,但是效果是一样的，low是我后面改回来的......
注册表防护确实Tracking组我设置的是allow 和Monitor...这里确实有待改进.......
关键是如果用你提供的图5的方法样本根本会运行不起来，也就看不到它的行为了。

3、

附件: 155847200762174823.jpg

注册表项防护中的每条规则的具体设置：

附件: 155847200762175004.jpg

【回复“baohe”的帖子】

感谢猫叔的建议，我估计使我tiny崩溃的原因是由于我注册表的防护吧,这里确实有很多要改进的地方.....(ps:我只保护了tiny的文件夹)

引用:

【菜鸟玩病毒的贴子】【回复“baohe”的帖子】 high确实设置过了,但是效果是一样的，low是我后面改回来的...... 注册表防护确实Tracking组我设置的是allow 和Monitor...这里确实有待改进....... 关键是如果用你提供的图5的方法样本根本会运行不起来，也就看不到它的行为了。 ………………

1、你对注册表防护的理解貌似有误（见47－48，50－51楼图）。
2、如果要用Tiny的Track'nReverse观察这个病毒的全部活动，图5中的设置需要改动一下（禁止强迫进程终止、禁止系统关机；其它的——都允许）。
但这要你自己在下次重启前将残局收拾利索。否则.....

【回复“baohe”的帖子】
确实有误，感谢baohe指点......我原来的想法是将Tracking进行相应的设置（包括注册表，文件，服务等等），并将它置于高优先级认为其他的就不管了，但是一想这样还是不对的.....
  我的错误还有在于我只认为了样本会破坏系统，其实不然（另外我的Tranking模式设置本身也有问题）......
比方说我只限制了Tracking组禁止对注册表进行写入，删除，创建，但是病毒样本可以调用explorer来对注册表表进行写入删除等等............保护注册表的相关键值才是关键，而只并不是只阻止Tracking组对注册表进行的删除创建等行为

楼主,你说的这个我还真学会了,,,,以后多给我发点悄悄话啊呵呵

o

会啦，谢谢楼主的指点哦！！！！！

终于说到tiny了...