MCAFEE 中了LPK.DLL木马

WEI.ER

墨池 发表于 2013-1-19 20:53
可否搞一个黑名单？
记得不知在哪儿见过一个，时间长了忘了。

我以前也有一个，被我修改的一塌糊涂，原版的因为换了新电脑，结果忘记备份硬盘资料，全和我说拜拜了。

墨池

WEI.ER 发表于 2013-1-19 20:56
我以前也有一个，被我修改的一塌糊涂，原版的因为换了新电脑，结果忘记备份硬盘资料，全和我说拜拜了。

可惜了！

shiyuelaohu

马云波波波 发表于 2013-1-19 20:54
这个是静态扫描匹配，不是主防。现在什么都讲究个规则、主防，其实是非要把病毒行为和系统行为硬生 ...

企业版对付黑dll还是相对乏力的，很难通过静态防御检测来查杀黑dll，个人版在这方面不错，其实就是借助了月神的云端检测。所以，对于企业版来说，规则就很重要了。我刚才所说的跟乃说的其实是一个意思，全局禁运dll，完整路径排除，可避免中毒。lpk.dll一般都在system32文件夹下，其他文件夹下的都是伪装木马，基本上可以凭此来判断。如果有恶意程序替换system32文件夹下的lpk.dll，那么一个windows文件夹的保护规则可避免此事。

钢铁侠

如果是企业用户，建议上报样本，发个邮件就可以了。
很快就会回复入库的，咖啡效率还是很高的，然后就可以查杀修复了。

kyk0416

lpk.dll我中过此毒（红伞报，但杀不掉）~很多文件夹里都有，很多很多，
手工是无法完全删除的，只有用专杀

1007

这个病毒多是U盘感染。
我也中多一次，强制停止explorer.exe后，用专杀。
这东西很讨厌，会去感染rar，zip压缩包。

x-天秤座

规则没有设置好哈，应该一早在干净系统下，单独自定义规则：
1. 禁止非信任文件写入创建dll；--写、创建
2. 禁止在windows目录下写创建dll（这条最重要了，任何时候都不要放松它）；--写、创建，删除
3. 禁止在Program Files下写创建dll---写、创建，删除
4. 禁止恶意执行注入dll；--执行
.......
具体规则内容不细写了，大家都懂的。加上你分别对exe文件（另外类似写四条，加上默认的）的防护，那么你受信任的exe文件不会被病毒破坏，这样exe+dll都不会被破坏，黑加白也就无效了啊，除非你在规则之外自己拷贝有毒文件去覆盖安全文件。就算你的有毒dll文件在某个非受信任目录，这些程序不会被设计成来自动和智能寻找和执行它的，一般只会执行本目录下或者windows目录下的dll，除非这是个恶意程序。

那么，你会问，对于陌生程序，你想运行和使用，在没有使用前你不知道是否恶意。这个也简单啊：首先，mcafee本身会对其扫描是否带毒；如果被过，你只要规则防护得好，你运行这个陌生程序，必然会触红，对不？你打开日志，只要看见它向windows目录（这个目录的防护最重要）或者其他不相关的目录写入和创建陌生dll（而不是本身目录），那么你基本就可以判断这个是恶意程序。

再，你说你明感觉它是恶意程序，但是你还是想运行，那就装个sandboxie运行它就行了，网上下载个。我就是mcafee+sandboxie搭配的，遇上上面陌生程序我就关闭mcafee保护用sandboxie运行它，因为全部被虚拟重定向了，根本就不担心它的破坏，而且可以观察沙盘里面它释放了什么文件和意图改写什么目录，就算它在沙盘虚拟目录里面写了上千个目录和文件，你倒沙就瞬间清空了。

heihuasn

可以尝试用金山的专杀。

l10x

引用“http://bbs.kafan.cn/thread-1113899-1-1.html9楼
涵皓 发表于 2011-11-2 12:42
是LPK劫持者，解决方法http://bbs.360.cn/4071464/46600034.html

DLL劫持病毒专杀工具
http://tools.micropoint.com.cn/A00000012

zjxswhh

新人看不了贴...