使用费尔的几个疑问

显示全部楼层 · 发表于 2007-7-25 21:33:35

1.我在样本区试毒,用费尔的右键扫描,有时候会跳出如图所示的注册表被修改了(微点在监控居然没有发现)
这是怎么回事饿,扫个毒,它就会篡改注册表????

2.用费尔全盘扫毒是,我看见了如下的文件路径,举个例子
E:\FOXMAIL\XXX.BOX>>ATOZVIRUS.RAR
其中">>"这个东西是指向哪里的,我用搜索是找不到文件的

3.还是在样本区试毒的时候,解压出来后(方便微点)点一个文件用费尔的右键扫描,再点一下旁边的文件,注意,我不是双击打开文件,然后费尔就会自动扫描一样的，如果它有毒,就会清楚的听见报警声,文件名已经显示在费尔的界面中.这也太神了吧

以上是今天初用费尔正式版的疑问,谢谢红心王子为帮我杀毒提供我注册码,谢谢,谢谢.

显示全部楼层 · 发表于 2007-7-25 21:45:02

还是安装Returnil虚拟影子系统来测试样本吧,不用ghost

Returnil虚拟影子系统(Returnil Virtual System 2007)来自欧洲著名的安全公司Returnil SIA，它是一个基于虚拟机原理的新一代防毒防木马类软件，可以瞬间把您的计算机用隔离罩保护起来，同时用一个内存中的虚假替身——“影子”系统来接管真实的操作系统，任何病毒和木马都被限制在虚拟系统中使用，无法感染你真实的操作系统。重启后，所有危险即刻消失的无影无踪。

常见的杀毒软件几乎对于每个文件操作，每个网络访问，每个注册表操作，都要盘查过问，同时用多达几十万的病毒标本进行逐一比较，这样下来系统的资源大部分被杀毒软件占用了，常常让您的爱机变得其慢无比。Returnil虚拟影子系统最高时只占用1%不到的系统资源，而且在空闲时几乎不占用系统任何CPU资源。同时，Returnil虚拟影子系统无需频繁的升级病毒库，一次安装，永久有效，是新型的防毒免疫类产品。

Returnil虚拟影子系统支持包括中文在内的10种语言，界面极其简单朴实，操作非常方便快捷。无需重启电脑，一个按钮即可让您的爱机进入“影子”保护模式，为您的网络冲浪，学习工作保驾护航。

Returnil虚拟影子系统支持XP，2003，Vista等操作系统，支持RAID等磁盘阵列体系，同时兼容IDE,SATA,CF卡等硬盘设备。

显示全部楼层 · 发表于 2007-7-25 21:55:28

我用的是影子系统2.8.2个人版
兄弟啊,先解开我的疑惑吧

显示全部楼层 · 发表于 2007-7-25 23:03:33

1. 估计你注册表的键值是在扫描病毒前已经被修改了.费尔没开实时监控吧?
2. 在压缩包或自解压文件里
3. 旁边那个是实时监控的结果.

[ 本帖最后由 chow2006 于 2007-7-25 23:05 编辑 ]

显示全部楼层 · 发表于 2007-7-25 23:05:45

谢谢解答哦,确实没开监控

显示全部楼层 · 发表于 2007-7-26 18:13:45

1,你怎么扫描的?先把病毒包解压?有些是解压的时候,就放毒的,特殊设计自运行.
2,费尔扫描压缩包时,产生的临时文件,扫描完费尔会自动清除
3,同上

显示全部楼层 · 发表于 2007-7-26 19:09:02

我想你用的费尔启发式扫描中的规则过严.我的规则可能是费尔的最严格的规则经常弹出小对话框.不想麻烦用默认规则.看看我的机器中的情况.
1185372705,2007-7-25 22:11:45,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[IMJPMIG8.1]=; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32,Realtime scan
1185372705,2007-7-25 22:11:45,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[PHIME2002ASync]=; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC,Realtime scan
1185372705,2007-7-25 22:11:45,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[PHIME2002A]=; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName,Realtime scan
1185372705,2007-7-25 22:11:45,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvCplDaemon]=; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll#NvStartup,Realtime scan
1185372705,2007-7-25 22:11:45,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[nwiz]=; nwiz.exe /install,Realtime scan
1185372705,2007-7-25 22:11:45,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372705,2007-7-25 22:11:45,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvMediaCenter]=; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll#NvTaskbarInit,Realtime scan
1185372714,2007-7-25 22:11:54,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[SoundMan]=; SOUNDMAN.EXE,Realtime scan
1185372714,2007-7-25 22:11:54,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[OutpostFeedBack]=; C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup,Realtime scan
1185372714,2007-7-25 22:11:54,注册表监控,多余的值,ibelive,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[ctfmon.exe]=; C:\WINDOWS\system32\ctfmon.exe,Realtime scan
1185372924,2007-7-25 22:15:24,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372932,2007-7-25 22:15:32,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372940,2007-7-25 22:15:40,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372948,2007-7-25 22:15:48,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372956,2007-7-25 22:15:56,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372963,2007-7-25 22:16:03,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372971,2007-7-25 22:16:11,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372979,2007-7-25 22:16:19,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185372987,2007-7-25 22:16:27,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185373019,2007-7-25 22:16:59,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185373027,2007-7-25 22:17:07,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185373066,2007-7-25 22:17:46,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[PHIME2002ASync]=; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC,Realtime scan
1185373066,2007-7-25 22:17:46,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[PHIME2002A]=; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName,Realtime scan
1185373066,2007-7-25 22:17:46,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvCplDaemon]=; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll#NvStartup,Realtime scan
1185373066,2007-7-25 22:17:46,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[nwiz]=; nwiz.exe /install,Realtime scan
1185373066,2007-7-25 22:17:46,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185373066,2007-7-25 22:17:46,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvMediaCenter]=; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll#NvTaskbarInit,Realtime scan
1185373066,2007-7-25 22:17:46,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[SoundMan]=; SOUNDMAN.EXE,Realtime scan
1185373066,2007-7-25 22:17:46,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[OutpostFeedBack]=; C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup,Realtime scan
1185373066,2007-7-25 22:17:46,注册表监控,多余的值,ibelive,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[ctfmon.exe]=; C:\WINDOWS\system32\ctfmon.exe,Realtime scan
1185373074,2007-7-25 22:17:54,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185373082,2007-7-25 22:18:02,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[PHIME2002A]=; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName,Realtime scan
1185373082,2007-7-25 22:18:02,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvCplDaemon]=; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll#NvStartup,Realtime scan
1185373082,2007-7-25 22:18:02,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[nwiz]=; nwiz.exe /install,Realtime scan
1185373082,2007-7-25 22:18:02,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvMediaCenter]=; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll#NvTaskbarInit,Realtime scan
1185373082,2007-7-25 22:18:02,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185373082,2007-7-25 22:18:02,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[SoundMan]=; SOUNDMAN.EXE,Realtime scan
1185373082,2007-7-25 22:18:02,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[OutpostFeedBack]=; C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup,Realtime scan
1185373082,2007-7-25 22:18:02,注册表监控,多余的值,ibelive,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[ctfmon.exe]=; C:\WINDOWS\system32\ctfmon.exe,Realtime scan
1185373090,2007-7-25 22:18:10,RegChanger.AutoRunner.A,可疑程序,ibelive,C:\WINDOWS\system32\nwiz.exe,Realtime scan
1185373564,2007-7-25 22:26:04,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvCplDaemon]=; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll#NvStartup,Realtime scan
1185373565,2007-7-25 22:26:05,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[nwiz]=; nwiz.exe /install,Realtime scan
1185373565,2007-7-25 22:26:05,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvMediaCenter]=; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll#NvTaskbarInit,Realtime scan
1185373565,2007-7-25 22:26:05,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[SoundMan]=; SOUNDMAN.EXE,Realtime scan
1185373565,2007-7-25 22:26:05,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[OutpostFeedBack]=; C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup,Realtime scan
1185373565,2007-7-25 22:26:05,注册表监控,多余的值,ibelive,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[ctfmon.exe]=; C:\WINDOWS\system32\ctfmon.exe,Realtime scan
1185373612,2007-7-25 22:26:52,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[nwiz]=; nwiz.exe /install,Realtime scan
1185373612,2007-7-25 22:26:52,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvMediaCenter]=; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll#NvTaskbarInit,Realtime scan
1185373612,2007-7-25 22:26:52,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[SoundMan]=; SOUNDMAN.EXE,Realtime scan
1185373612,2007-7-25 22:26:52,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[OutpostFeedBack]=; C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup,Realtime scan
1185373612,2007-7-25 22:26:52,注册表监控,多余的值,ibelive,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[ctfmon.exe]=; C:\WINDOWS\system32\ctfmon.exe,Realtime scan
1185373635,2007-7-25 22:27:15,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[NvMediaCenter]=; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll#NvTaskbarInit,Realtime scan
1185373635,2007-7-25 22:27:15,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[SoundMan]=; SOUNDMAN.EXE,Realtime scan
1185373635,2007-7-25 22:27:15,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[OutpostFeedBack]=; C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup,Realtime scan
1185373635,2007-7-25 22:27:15,注册表监控,多余的值,ibelive,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[ctfmon.exe]=; C:\WINDOWS\system32\ctfmon.exe,Realtime scan
1185375189,2007-7-25 22:53:09,HTML.Shell.PoliKey.D,病毒,ibelive,D:\资料\系统修复的工具\如何巧解注册表的锁定.txt.VIR,Realtime scan
1185375196,2007-7-25 22:53:16,INF.Autorun.c,病毒,ibelive,D:\资料\系统修复的工具\总结.txt,Realtime scan
1185375200,2007-7-25 22:53:20,INF.Autorun.e,病毒,ibelive,D:\资料\系统修复的工具\案例.txt,Realtime scan
1185375686,2007-7-25 23:01:26,注册表监控,多余的值,ibelive,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[Outpost Firewall]=C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice,Realtime scan

显示全部楼层 · 发表于 2007-7-26 20:32:44

原帖由风雪于 2007-7-26 19:09 发表
我想你用的费尔启发式扫描中的规则过严.我的规则可能是费尔的最严格的规则经常弹出小对话框.不想麻烦用默认规则.看看我的机器中的情况.
1185372705,2007-7-25 22:11:45,注册表监控,多余的值,ibelive,HKEY_LOCA ...

看得我眼晕了

谢谢这位大哥的分享,不过平时我是开微点监控的哈

显示全部楼层 · 发表于 2007-7-26 22:52:52

终于搞明白第一个问题是怎么回事了
这是我在样本区用金山毒霸右键扫描造成的,想不到金山居然这样

显示全部楼层 · 发表于 2007-7-28 14:28:17

朋友们，别再浪费力气去争论杀毒软件的优劣了，一起来感受Returnil的简约和强大吧。

注：Returnil不需要写入硬盘的分区表，也不会占用太多的系统资源，进入保护模式后我们完全可以退出主程序，Returnil会在驱动层进行保护（无进程方式）。

[费尔] 使用费尔的几个疑问

本帖子中包含更多资源

回复 #2 无影一线的帖子

回复 #4 chow2006 的帖子

[费尔] 使用费尔的几个疑问

本帖子中包含更多资源

回复 #2 无影一线 的帖子

回复 #4 chow2006 的帖子

回复 #2 无影一线的帖子