comodo v5.10 好像漏了註冊表

显示全部楼层 · 发表于 2012-5-20 03:09:47

本帖最后由 a256886572008 于 2012-5-20 03:20 编辑

樣本：
http://bbs.kafan.cn/thread-1291452-1-1.html
或
hxxp://tsx.ns02.us/o/zr.exe

不知道是否只有我這邊有問題，大家試試。

環境：

配置CIS(有開部份限制那個)

關閉雲掃描

Windows XP XP3 32bit

显示全部楼层 · 发表于 2012-5-20 03:18:03

你也是注册表有问题，真是不懂了，毛豆问题太多了，抽风太经常了，靠他感觉不安全了

显示全部楼层 · 发表于 2012-5-20 03:22:40

本帖最后由 a256886572008 于 2012-5-20 03:49 编辑

岁月遐想发表于 2012-5-20 03:18
你也是注册表有问题，真是不懂了，毛豆问题太多了，抽风太经常了，靠他感觉不安全了

我等早上再試試 enhanced protection mode 看看

----------------
開增強模式之後，我發現攔截變多了，真神奇

zr.exe

2012-05-20 03:35:48 C:\Documents and Settings\Roger\桌面\virus\0xA25D5DBD\zr\zr.exe Modify Key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\WebCheck

HQJ.hta

2012-05-20 03:36:36 C:\Program Files\HQJ.hta Modify Key HKUS\S-1-5-21-1993962763-796845957-1801674531-1003\Software\Microsoft\Internet Explorer\Main\Start Page

coiome.exe

2012-05-20 03:36:51 C:\Program Files\Common Files\sfbsbvy\coiome.exe Modify File C:\WINDOWS\Fonts\op.ini

2012-05-20 03:37:14 C:\Program Files\Common Files\sfbsbvy\coiome.exe Modify Key HKLM\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\

cpush.dll

2012-05-20 03:37:50 C:\Program Files\Common Files\PushWare\cpush.dll Modify Key HKLM\SOFTWARE\Classes\CLSID\{CDE9EB54-A08E-4570-B748-13F5DDB5781C}\InprocServer32

360ubgc.exe

2012-05-20 03:39:23 C:\WINDOWS\system32\360ubgc.exe Modify File \Device\Global\NPF_{54C7D140-09EF-11D1-B25A-F5FE627ED95E}

2012-05-20 03:39:23 C:\WINDOWS\system32\360ubgc.exe Modify File \Device\Global\NPF_{DF02E116-9922-4EAF-B4D2-7DABBB83F3D1}

2012-05-20 03:39:23 C:\WINDOWS\system32\360ubgc.exe Modify File \Device\Global\NPF_{9FA01324-BFD1-4363-9F1B-B9C270A07093}

.................................

显示全部楼层 · 发表于 2012-5-20 04:42:01

英文，有压力

显示全部楼层 · 发表于 2012-5-20 07:39:18

a256886572008 发表于 2012-5-20 03:22
我等早上再試試 enhanced protection mode 看看

----------------

为什么之前不开增加模式

显示全部楼层 · 发表于 2012-5-20 08:57:39

a256886572008 发表于 2012-5-20 03:22
我等早上再試試 enhanced protection mode 看看

----------------

为什么会这样，这些不是已经在拦截规则中么？

显示全部楼层 · 发表于 2012-5-20 10:02:22

万恶的水印。。。话说autoruns.exe有汉化版的，不汉化也能看懂大概意思吧。。。

显示全部楼层 · 发表于 2012-5-20 11:54:05

我又取消 enhanced protection mode ，重新測試，能夠正常攔截註冊表了。

显示全部楼层 · 发表于 2012-5-20 12:27:14

a256886572008 发表于 2012-5-20 11:54
我又取消 enhanced protection mode ，重新測試，能夠正常攔截註冊表了。

反正这模式没开过！

显示全部楼层 · 发表于 2012-5-20 13:29:58

老虎猫发表于 2012-5-20 12:27
反正这模式没开过！

只有 X64 系統才需要開

[BUG] comodo v5.10 好像漏了註冊表

本帖子中包含更多资源