高质量过大部分杀软扫描卡巴360均被过扫描

显示全部楼层 · 发表于 2012-5-10 17:10:45

真小读者发表于 2012-5-10 16:35
自删除样本？双击后消失了
20分钟后微点提示发现未知木马，删除之
360急救箱全盘强力模式，进程管制，现已 ...

主防已过，请帮忙上报给微点官方吧，谢谢

显示全部楼层 · 发表于 2012-5-10 17:12:39

itcql 发表于 2012-5-10 17:10
主防已过，请帮忙上报给微点官方吧，谢谢

好的。现在360急救箱还在全盘呢，进程管制了扫完了上报

显示全部楼层 · 发表于 2012-5-10 17:16:44

sanhu35 发表于 2012-5-10 17:01
貌似默认的网络规则删除了，才有这个提示

是的，要删掉，而且删除完成反而比较好。

显示全部楼层 · 发表于 2012-5-10 17:20:48

To 卡巴

显示全部楼层 · 发表于 2012-5-10 17:23:08

卡巴开交互模式拦截看来这个自动模式确实有些问题直接放低限制组里了

显示全部楼层 · 发表于 2012-5-10 17:30:04

itcql 发表于 2012-5-10 17:10
主防已过，请帮忙上报给微点官方吧，谢谢

已经上报。不过不知道是没生成那些文件还是360急救箱强力和普通的区别，我先是智能扫描，只移除了几个启动项，看了看路径好像也和这个病毒没关。后来20分钟后微点提示删除后开了全盘强力模式（进程管制）发现了10个木马

显示全部楼层 · 发表于 2012-5-10 17:47:00

真小读者发表于 2012-5-10 16:35
自删除样本？双击后消失了
20分钟后微点提示发现未知木马，删除之
360急救箱全盘强力模式，进程管制，现已 ...

20分钟

显示全部楼层 · 发表于 2012-5-10 17:51:59

本帖最后由真小读者于 2012-5-10 21:40 编辑

Howl 发表于 2012-5-10 17:47
20分钟

呵呵，确实
截图如下（第一张图是微点程序生成日志，黄色为几个比较重要的生成文件；第二张是微点的查杀日志）

补充：微点的查杀是自动弹窗的查杀，不是手动扫描哦

显示全部楼层 · 发表于 2012-5-10 18:40:01

本帖最后由 saga3721 于 2012-5-10 18:45 编辑

a256886572008 发表于 2012-5-10 15:43
那个被注入的 svchost.exe 不是系统进程，而是病毒的子进程，所以允许也没差。

TF 对於被调用的 svc ...

好像就是系统的svchost.exe，所以注入后防火墙就不会提示联网了，这种毒OA防得不错

显示全部楼层 · 发表于 2012-5-10 18:45:01

本帖最后由 saga3721 于 2012-5-10 18:48 编辑

sanhu35 发表于 2012-5-10 17:01
貌似默认的网络规则删除了，才有这个提示

哈哈，那还说啥正确拦截？还不如OP，OP在自动生成的svchost.exe规则下还能提示一步启动svchost.exe呢，只是不能发觉注入。但认为陌生程序启动svchostexe就执行拦截也说得过去。
以我的经验此毒防得最好的主防是应该是OA，OA应该能提示注入

[病毒样本] 高质量过大部分杀软扫描卡巴360均被过扫描