瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致:gz88235654@126.com——你那个样本不是爱情后门

1   1  /  1  页   跳转

致:gz88235654@126.com——你那个样本不是爱情后门

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 19:39 | 显示全部 短消息 资料
字号: 1楼

致:gz88235654@126.com——你那个样本不是爱情后门

收到你的样本WinZip_tmp.exe。卡巴斯基报E-mail.Worm.Win32.Nyxem.e,是蠕虫;而不是后门。查杀流程如下
1、删除病毒文件:
见附图。
2、清理注册表:
展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"ScanRegistry"="scanregw.exe /scan"

3、重新安装杀毒软件(这个蠕虫删除大多数杀软的文件,导致杀软不能运行)。

附件附件:

下载次数:259
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 19:39:32
描述:
预览信息:EXIF信息



最后编辑2006-01-24 22:04:52
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:14 | 显示全部 短消息 资料
字号: 2楼

引用:
【天天泡泡的贴子】Nyxem.e

一个恶意蠕虫,千万小心,不然会对用户造成不顾估量的损失,详情看置顶的版主本月安全提示我今天更新的内容。
...........................


有TPF的DIY规则保护,我只损失了卡巴的kavsvc。
这只蠕虫一开始就疯狂删除多个杀软的注册表项。蠕虫运行/释放文件/添加启动项后,开始删除C盘文件。被TPF阻止后——死机。重启系统后,蠕虫被SSM发现并阻止。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:32 | 显示全部 短消息 资料
字号: 3楼

引用:
【天天泡泡的贴子】【回复“baohe”的帖子】
把你自定义的规则共享一下好不?我的还是默认的呢
...........................


DIY 规则,不是不愿共享,而是不敢随便与人共享。这些DIY规则,都我自己是针对特定问题设立的。有时,会影响其它应用。怎么处理,只有DIY者自己明白。
比如下图的DIY规则,就是禁止任何程序删除%WINDOWS%及其子目录中的任何文件。加了这条规则,以后删除病毒文件时,必须暂时禁用TPF的WINDOWS SECURITY。 否则,你根本不能删除%WINDOWS%及其子目录中的病毒文件。

附件附件:

下载次数:245
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 21:32:55
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:35 | 显示全部 短消息 资料
字号: 4楼

设好那条规则后,在Access to Files and Folers面板看到的是——

附件附件:

下载次数:260
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 21:35:15
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:41 | 显示全部 短消息 资料
字号: 5楼

【回复“天天泡泡”的帖子】
IDS/IPS部分——只能用现成的,不能更改。TPF升级时,有可能更新这部分内容(SNORT)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:49 | 显示全部 短消息 资料
字号: 6楼

【回复“天天泡泡”的帖子】
我全部启用了。
不过,我认为,其“access”部分应当改一下(用Globle Edite)——全部改为Prevent。

附件附件:

下载次数:160
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 21:49:53
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:57 | 显示全部 短消息 资料
字号: 7楼

引用:
【天天泡泡的贴子】【回复“baohe”的帖子】
......我的图上怎么没有你的那个“back to default sorting”
...........................

刚仔细看了一下:那是用过Globle Edite后才有的。如果不编辑规则,就没有那个选项。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 22:03 | 显示全部 短消息 资料
字号: 8楼

【回复“天天泡泡”的帖子】
这不是问题。12楼重新回复了。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT