MCAFEE 中了LPK.DLL木马

Savoor

墨池 发表于 2013-1-19 20:19
这样连正常文件也删了。

他写的木马是"LPK.DLL"

并且,被干掉的文件都是有记录的,也可以手动还原

墨池

先加上这条规则：

规则名称：保护lpk.dll
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：lpk.dll
要禁止的文件操作：读 执行

然后用专杀杀毒。

墨池

Savoor 发表于 2013-1-19 20:21
他写的木马是"LPK.DLL"

并且,被干掉的文件都是有记录的,也可以手动还原

可以用绝对路径排除正常的。否则会反复删除的。

Savoor

墨池 发表于 2013-1-19 20:24
可以用绝对路径排除正常的。否则会反复删除的。

这取决于"LPK.DLL"的位置和数量

假如它的电脑中有两个"LPK.DLL",有一个正常的"LPK.DLL"被隔离了,可以在隔离区排除正常的,鉴于"LPK.DLL"已经被隔离,可以在自定义隔离中删除"LPK.DLL",以避免正常文件的反复隔离

Savoor

墨池 发表于 2013-1-19 20:22
先加上这条规则：

规则名称：保护lpk.dll

此规则同样废掉正常"LPK.DLL"

并且还要启用专杀

墨池

Savoor 发表于 2013-1-19 20:29
此规则同样废掉正常"LPK.DLL"

并且还要启用专杀

你的办法似乎更合理。
查了一下，这样排除即可：
C:\Windows\WinSxS\**\lpk.dll
C:\Windows\System32\lpk.dll
C:\Windows\SysWOW64\lpk.dll

WEI.ER

绝对路径排除，然后非法路径全禁，我就这么保护DLL文件的，毕竟LPK.DLL和UPS10.DLL是常见的病毒。

墨池

WEI.ER 发表于 2013-1-19 20:49
绝对路径排除，然后非法路径全禁，我就这么保护DLL文件的，毕竟LPK.DLL和UPS10.DLL是常见的病毒。

可否搞一个黑名单？
记得不知在哪儿见过一个，时间长了忘了。

Savoor

墨池 发表于 2013-1-19 20:37
你的办法似乎更合理。
查了一下，这样排除即可：
C:\Windows\WinSxS\**\lpk.dll

精确了正常的路径,一切不确定的难题都迎刃而解啊!!

马云波波波

shiyuelaohu 发表于 2013-1-19 17:25
黑dll这种东西很多杀软都不报的，因为并不是可执行文件，一定是某个exe文件执行了lpk.dll。乃们公司有没有自 ...

      这个是静态扫描匹配，不是主防。现在什么都讲究个规则、主防，其实是非要把病毒行为和系统行为硬生生区分开来，个人认为有点钻牛角尖的感觉。

      至于您说的目前的杀毒软件大都对*.dll文件缺乏有效的侦测手段，可能只是说的一些国内厂商，急功近利，只想着迅速提高查杀率而专门杀*.exe等可执行文件。其实诸如诺顿咖啡这种老牌软件，不论是引擎还是病毒库都对所有类型的病毒都有较为均衡的对待，内功深厚，这也是为什么这些老牌软件长盛不衰的原因。

      鉴于咖啡企业版现在无法侦测到lpk.dll是病毒。那只好设置规则禁止任何文件读取lpk.dll，然后手动删除病毒了。同时也可以及时上报给咖啡官方。