SpeW - 2009-2-5 11:06:00
此类病毒要调用服务管理器,所以必须有个ini的配制文件,故突发奇想,想到此条规则
创建文件-主文件类型为1
创建文件-全路径包含%windir% 子文件类型为2
效果不错,在此感谢技术团队对我学习的帮助,编出此条规则
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )
随缘92WJC - 2009-2-5 11:10:00
不能解决,刚试过了,结果扫描出的dll文件根本找不到,只有KEY文件,文件名也和原来生成的不同了
扫描日志被注入的DLL在硬盘中找不到,找到的KEY文件费尔删除、sreng、xdelbox、超级巡警都无法删除,光盘进入PE删除,PE中也找到了DLL文件,删除成功,但重启进入系统就自动生成了
[ovtjkk / ovtjkk][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k ovtjkk-->%SystemRoot%\System32\gjjorm.dll><N/A>
随缘92WJC - 2009-2-5 11:19:00
这个昨天试过能行,但今天不知道怎么的就不行了,所有防御规则全开也不行,至于运行MS.EXE被防御规则拦截的话,瑞星升级过后,刚解压缩就被瑞星干了(防御规则关闭状态,也就是说靠病毒库监控就干了)
SpeW - 2009-2-5 11:29:00
原帖由 随缘92WJC 于 2009-2-5 11:19:00 发表
这个昨天试过能行,但今天不知道怎么的就不行了,所有防御规则全开也不行,至于运行MS.EXE被防御规则拦截的话,瑞星升级过后,刚解压缩就被瑞星干了(防御规则关闭状态,也就是说靠病毒库监控就干了)
团队说了 节后会升级木马行为拦截的行为库,到那时候瑞星应该自己就能拦了
随缘92WJC - 2009-2-5 11:34:00
额~~~~现在已经中了毒了,也不去管他了,晚上回来重新格式化用自己的光盘一键还原下就OK了,唉,幸好明智,各电脑上都有资料备份,不怕不怕啦
七月灬等待 - 2009-2-5 11:36:00
原帖由 随缘92WJC 于 2009-2-5 11:34:00 发表
额~~~~现在已经中了毒了,也不去管他了,晚上回来重新格式化用自己的光盘一键还原下就OK了,唉,幸好明智,各电脑上都有资料备份,不怕不怕啦
试毒不用虚拟机········
强人:default9:
随缘92WJC - 2009-2-5 11:40:00
呵呵845主板(CPU没有独立供电的老板子啦)160G硬盘,1GDDR400+256DDR200内存,1.7CPU(本来是1.6),FX5200显卡,8倍速的128位128M显卡(我的主板支持到4X,呵呵),双光驱DVD16X刻录+先锋52XCD—rom(01年产品)附加软驱一个,02年声卡一块,TP千兆网卡一块(二手货),电源是P3 145W电源,改成了P4 400W大功率电源,可惜12V电压被我抬太高了,差点烧了一块主板
SpeW - 2009-2-5 13:27:00
原帖由
七月灬等待 于 2009-2-5 11:36:00 发表
原帖由 随缘92WJC 于 2009-2-5 11:34:00 发表
额~~~~现在已经中了毒了,也不去管他了,晚上回来重新格式化用自己的光盘一键还原下就OK了,唉,幸好明智,各电脑上都有资料备份,不怕不怕啦
试毒不用虚拟机········
强人:default9:
本人试毒就重来不用虚拟机(都是实机测试) :default6: 照样玩 呵呵......... 我连备份GHOST都没有的:default6:
© 2000 - 2025 Rising Corp. Ltd.
