关于样本区“三九胃泰军团来袭”如果MSE查杀失效后 应该怎么防御

ELOHIM

丰紫 发表于 2013-3-15 20:36
看了下 这货在uac下只要禁止他写入启动项就ok了。
补充：开uac的默认情况下 当前用户对“C:\Users\用户\Ap ...

whoami

这是哪里来的命令？

丰紫

ELOHIM 发表于 2013-3-15 22:33
whoami

这是哪里来的命令？

系统自带的  whoami /? 就出来了

ELOHIM

丰紫 发表于 2013-3-15 23:18
系统自带的  whoami /? 就出来了

菜鸟不知道啊。。

丰紫

ELOHIM 发表于 2013-3-15 23:31
菜鸟不知道啊。。

大大表逗我了

ELOHIM

丰紫 发表于 2013-3-15 23:39
大大表逗我了

1. 
   
2. WhoAmI 有三种使用方法:
   
3. 
   
4. 语法 1:
   
5.     WHOAMI [/UPN | /FQDN | /LOGONID]
   
6. 
   
7. 语法 2:
   
8.     WHOAMI { [/USER] [/GROUPS] [/PRIV] } [/FO format] [/NH]
   
9. 
   
10. 语法 3:
    
11.     WHOAMI /ALL [/FO format] [/NH]
    
12. 
    
13. 描述:
    
14.     这个工具可以用来获取本地系统上当前用户(访问令牌)的用户名和组信息，
    
15.     以及相应的安全标识符(SID)、特权和登录标识符(logon ID)。例如，谁是
    
16.     当前登录的用户? 如果没有指定开关，工具用 NTLM 格式(域\用户名)显示
    
17.     用户名。
    
18. 
    
19. 参数列表:
    
20.     /UPN                    用用户主体 (User Principal) 格式显示用户名
    
21.                             名称 (UPN)格式。
    
22. 
    
23.     /FQDN                   用完全合格的 (Fully Qualified) 格式显示用户名
    
24.                             可分辨名称(FQDN) 格式。
    
25. 
    
26.     /USER                   显示当前用户的信息以及安全标识符 (SID)。
    
27. 
    
28.     /GROUPS                 显示当前用户的组成员信息、帐户类型和安全
    
29.                             标识符 (SID) 和属性。
    
30. 
    
31.     /PRIV                   显示当前用户的安全特权。
    
32. 
    
33.     /LOGONID                显示当前用户的登录 ID。
    
34. 
    
35.     /ALL                    显示当前用户名、属于的组以及安全标识符
    
36.                             (SID) 和当前用户访问令牌的特权。
    
37.                            
    
38.     /FO       format        指定要显示的输出格式。有效值为 TABLE、LIST、
    
39.                             CSV。CSV 格式不显示列标题。默认格式是 TABLE。
    
40. 
    
41.     /NH                     指定在输出中不显示列标题。只对 TABLE 和 CSV
    
42.                             格式有效。
    
43. 
    
44.     /?                      显示此帮助消息。
    
45. 
    
46. 示例:
    
47.     WHOAMI
    
48.     WHOAMI /UPN
    
49.     WHOAMI /FQDN
    
50.     WHOAMI /LOGONID
    
51.     WHOAMI /USER
    
52.     WHOAMI /USER /FO LIST
    
53.     WHOAMI /USER /FO CSV
    
54.     WHOAMI /GROUPS
    
55.     WHOAMI /GROUPS /FO CSV /NH
    
56.     WHOAMI /PRIV
    
57.     WHOAMI /PRIV /FO TABLE
    
58.     WHOAMI /USER /GROUPS
    
59.     WHOAMI /USER /GROUPS /PRIV
    
60.     WHOAMI /ALL
    
61.     WHOAMI /ALL /FO LIST
    
62.     WHOAMI /ALL /FO CSV /NH
    
63.     WHOAMI /?
    

复制代码

真的看不懂。。我在想315里面的flashcookie ..

hpmlo

ljp2993 发表于 2013-3-14 20:08
我不解压，扫描不到就上报

我也是~~

ljp2993

hpmlo 发表于 2013-3-18 13:39
我也是~~

握爪···上报帖首页除了版主都是我们俩···

蓝核

查杀失效了果然上急救箱……或者重装系统不客气
要么根据hips看看有啥恶意行为呗~

确定病毒这种事情不是需要用户来做……被锁屏了肯定是病毒啊

hpmlo

ljp2993 发表于 2013-3-18 14:00
握爪···上报帖首页除了版主都是我们俩···

不过你上报之后微软方面何时给回复啊？我从14日开始上报的十多条病毒只解决了一个……

ljp2993

hpmlo 发表于 2013-3-19 12:37
不过你上报之后微软方面何时给回复啊？我从14日开始上报的十多条病毒只解决了一个……

我都不留邮箱的···所以不知道结果···