查看: 4062|回复: 15
收起左侧

[讨论] 咖啡8.5被一个病毒征服了,看来咖啡也不是万能了

[复制链接]
lookf
发表于 2007-7-26 02:17:49 | 显示全部楼层 |阅读模式
每次开机system32下都会生成一个winlib.dll,咖啡可以识别他为病毒,但是删除后重起又出现了。于是我就自定义一条规则  :包含进程*     要阻止的文件c:\windows\system32\winlib.dll   禁止读取,创建,执行。

我靠,重起后system32下照样生成winlib.dll   咖啡真够垃圾的,没有阻止成功。看来创建winlib.dll的那个进程的优先级别比咖啡还高

我使用的系统是win2003,本以为自定义的规则阻挡成功后就可以通过日志查出是哪一个进程创建了winlib.dll,让我失望了咖啡。我最爱的咖啡和大蜘蛛都让我失望了。咖啡可以查出这个winlib.dll,也删除了  但是重起后winlib.dll又出现在system32目录下,自定义规则也无法阻止这个文件被创建。

蜘蛛就更让我失望了,连识别都识别不出来!
ouran
发表于 2007-7-26 02:37:26 | 显示全部楼层
事实证明规则是很有用的,但决不是万能的
规则的实质是个信任问题
到底我们是信任一个程序去运行它呢,还是阻止它
一靠安全意识和方法,二靠病毒检测程序
比如病毒区的那个"反虚拟机"的样本
一旦运行,多数规则是不能完全阻拦的

上报样本和处理样本还是很重要
漫步的人
发表于 2007-7-26 07:23:55 | 显示全部楼层
谁会以为咖啡是万能的了?
你建立一条规则,禁止对 "c:\windows\system32\**" 写入、创建任何文件,不就行啦。
夏春秋
发表于 2007-7-26 07:40:23 | 显示全部楼层
只有防毒的规则,没有杀毒的规则。
tracydk
发表于 2007-7-26 08:19:44 | 显示全部楼层
同情LZ
羽音
发表于 2007-7-26 08:40:13 | 显示全部楼层
winlib.dll是驱动级病毒acpidisk.sys释放出的文件,所以咖啡无法优先将其阻拦
在彻底清除病毒后建议设一条禁止新建*.sys的规则,可以防范此类驱动级病毒的产生
idey
发表于 2007-7-26 08:50:43 | 显示全部楼层
应该找出是哪个程序创建的这个文件,阻止其运行再杀!
yashoo
头像被屏蔽
发表于 2007-7-26 10:07:01 | 显示全部楼层

回复 #7 idey 的帖子

楼上说的是,可以用冰刃,先找出是哪些文件生成这个winlib.dll的,要同时把这些文件一起删除

也可以试试费尔木马强力清除助手,并且勾上抑制文件再次生成,有时候对于少数驱动级的sys无效,可以配合Unlocker使用。。。。

[ 本帖最后由 yashoo 于 2007-7-26 10:13 编辑 ]
yashoo
头像被屏蔽
发表于 2007-7-26 10:07:46 | 显示全部楼层
从来没人说过咖啡是万能的,满足楼主要求的万能杀软还没有诞生
wiczh
发表于 2007-7-26 10:25:37 | 显示全部楼层
楼主应该健全一下规则设置
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 01:47 , Processed in 0.134209 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表