咖啡8.5被一个病毒征服了，看来咖啡也不是万能了

lookf

每次开机system32下都会生成一个winlib.dll,咖啡可以识别他为病毒，但是删除后重起又出现了。于是我就自定义一条规则  ：包含进程*     要阻止的文件c:\windows\system32\winlib.dll   禁止读取，创建，执行。

我靠，重起后system32下照样生成winlib.dll   咖啡真够垃圾的，没有阻止成功。看来创建winlib.dll的那个进程的优先级别比咖啡还高

我使用的系统是win2003,本以为自定义的规则阻挡成功后就可以通过日志查出是哪一个进程创建了winlib.dll,让我失望了咖啡。我最爱的咖啡和大蜘蛛都让我失望了。咖啡可以查出这个winlib.dll，也删除了  但是重起后winlib.dll又出现在system32目录下，自定义规则也无法阻止这个文件被创建。

蜘蛛就更让我失望了，连识别都识别不出来！

ouran

事实证明规则是很有用的,但决不是万能的
规则的实质是个信任问题
到底我们是信任一个程序去运行它呢,还是阻止它
一靠安全意识和方法,二靠病毒检测程序
比如病毒区的那个"反虚拟机"的样本
一旦运行,多数规则是不能完全阻拦的

上报样本和处理样本还是很重要

漫步的人

谁会以为咖啡是万能的了？
你建立一条规则，禁止对 "c:\windows\system32\**" 写入、创建任何文件，不就行啦。

夏春秋

只有防毒的规则，没有杀毒的规则。

tracydk

同情LZ

羽音

winlib.dll是驱动级病毒acpidisk.sys释放出的文件，所以咖啡无法优先将其阻拦
在彻底清除病毒后建议设一条禁止新建*.sys的规则，可以防范此类驱动级病毒的产生

idey

应该找出是哪个程序创建的这个文件,阻止其运行再杀!

yashoo

楼上说的是，可以用冰刃，先找出是哪些文件生成这个winlib.dll的，要同时把这些文件一起删除

也可以试试费尔木马强力清除助手，并且勾上抑制文件再次生成，有时候对于少数驱动级的sys无效，可以配合Unlocker使用。。。。

[ 本帖最后由 yashoo 于 2007-7-26 10:13 编辑 ]

yashoo

从来没人说过咖啡是万能的，满足楼主要求的万能杀软还没有诞生

wiczh

楼主应该健全一下规则设置