瑞星卡卡安全论坛

防御规则已经设置好，附件就是。下载此帖附件后，将其中规则解压到桌面。
然后，按图操作即可。








4个不同变种的防护效果测试结果，全部有效拦截住了：


附件无密码。

用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

附件: anti_usp10_trojan.rar

版主 可我这样已经中了的怎么解决啊 小绿伞变小红伞了

http://bbs.ikaka.com/showtopic-8592394.aspx

支持猫叔  更新很快 :default6:

我也中了这个,GHOST两次了,然后打了那个简易程序后,我更新瑞星到今天为什么不出现扩展工具?已经提示是最新版了,怎么回事啊?又中毒了吗?
谢谢

问下猫叔  病毒释放内核级EXE 瑞星没反映的?

这个，取决于每个人对瑞星2009“系统加固”部分的具体设置。
设置恰当者，病毒安装/加载驱动时，瑞星2009会回报警并阻止之。

内核EXE就是驱动咯?

temp中的那个1696并无后缀。
起初，我不知它属于哪类程序。
但看过此毒运行过程中其添加注册表内容，有一项为驱动（名为io），io指向的程序就是temp文件夹中的那个1696。由此推测，这个1696可能就是个内核驱动。

那个数字文件是驱动我已经知道(和技术团队探讨的时候了解的)  不过你还是没回答内核EXE是不是驱动的问题,如果不是它到底是个什么玩意?

去问专业人士。我是外行。

那不好意思 问的太怪了:default6:  我还是去问技术团队好了

哈哈 猫叔已经会用这个编辑器拉  继续研究哦

感谢你的教程哦！学到不少知识。:default6:
好在这个病毒主体的关键动作比较少，俺瞎猫碰死耗子般地蒙出来这么个办法。那个“释放内核.exe”的选择------还是根据病毒写入的注册表信息反推/猜出来的。汗！
不过，我觉得这DD还真是面向专业人员的工具。要想用好这个工具，还要现学啥“正则表达式”，还要学反汇编吧？:default3:

天书一般的DD。 难！:default11:

如果要是 想把规则编的巧 那最好还是学汇编 直接反 病毒
比如我给猫叔的那个 规则的A类 近期流行病毒木马群 规则是这样的 创建互斥量 名称包含 ctm  这就是反汇编看的  这个规则就是针对目前那堆usp10.dll木马群的
还有usp10.dll那个 病毒在初始化的时候也建立了个互斥量puuyt
猫叔可以试着 建一个规则 是API规则
创建互斥量  名称为puuyt  看看是不是 病毒刚运行 没释放文件就报～·:default6:
这就是最偷巧的方法

谢谢指教。:default6:
我试试去。

不错哦！上图：






若用工具阻止瑞星终止病毒进程，病毒在%windows目录释放的dll还可加载运行。若允许瑞星终止进程，病毒就死了。不错！

猫叔 可以继续研究研究这个东东哦 很好玩的
哈

猫叔:default6:

我

学不上


:default6:

附件是规则

学这干嘛?一大堆活要干,学了也只能跟那些制毒者斗,斗来斗去,不知是谁毙了谁？
猫叔教的东东会装就行．
我就那么一点所求啦。

谢谢了!我运用了

反正按着高手大人教法一步一步
做下来了，连那个系统加固不懂啥意思也按
步照旧做下来了，保佑吧，千万别让我中那个'“牛”毒呀

我用的中小企业版，没有截图的那个“扩展工具”选项，点击检查更新，也没有哦。。。

猫叔，经过昨天测试，
这个规则包会对【easyrecovery6.12】认为是病毒木马
并直接将安装目录内的exe删除（认为是病毒）
多次重装将其设定为“信任”也不管用

最后删除这个规则包才将easyrecovery正常安装和使用（我有2G数据要恢复）



请猫叔测试！

我的影子系统程序与你说的easyrecovery6.12情形一摸一样。将影子添加到白名单中（图），就OK啦。

找来easyrecovery6.12试验过了。如果有本帖这条自定义防御规则，只要将easyrecovery6.12加入白名单中，它的运行并不受此规则影响。

任何程序一旦加入白名单

那么它的任何行为都不受监控的

规则可以这样添加一个规则避免误报
启动进程 文件名，不包含路径 字符串是rundll32.exe