VT Detection ratio: 3 / 47 pdqjcnrsctvtvqwkuwb.bfg explorer添加启动项？

显示全部楼层 · 发表于 2013-5-30 16:46:10

darkwolf_99 发表于 2013-5-30 16:21
嗯，单SSF没有拦截到利用explorer的行为，只有拦截到被利用后加启动项和联网，上报官方

在SBi ...

又试了一次，看第二张截图，第一张截图我修改了explorer的规则才能拦截到，不然只有SS出手了

显示全部楼层 · 发表于 2013-5-30 16:50:36

墨家小子发表于 2013-5-30 16:46
又试了一次，看第二张截图，第一张截图我修改了explorer的规则才能拦截到，不然只有SS出手了

我用MD试试，看看MD是怎么报的这个行为的

看来PF这步也拦不到

OP和毛豆报的都太笼统，什么都是“修改内存”

显示全部楼层 · 发表于 2013-5-30 16:53:12

darkwolf_99 发表于 2013-5-30 16:50
我用MD试试，看看MD是怎么报的这个行为的

看来PF这步也拦不到

老子疯掉了，最近都瞄准 explorer rundll32 reg regsvr32 cmd使劲呢

显示全部楼层 · 发表于 2013-5-30 16:57:47

墨家小子发表于 2013-5-30 16:53
老子疯掉了，最近都瞄准 explorer rundll32 reg regsvr32 cmd使劲呢

MD这步也拦不到

　只拦到发送消息，但阻止后，explorer.exe仍旧被利用

话说，OP拦了那步修改内存，真的拦截成功了？怀疑ing

显示全部楼层 · 发表于 2013-5-30 17:00:41

darkwolf_99 发表于 2013-5-30 16:57
MD这步也拦不到　只拦到发送消息，但阻止后，explorer.exe仍旧被利用

话说，OP拦了 ...

我可以骂人吗？亏了有SS拦截到，不然虚拟机又废掉了

我又抓到一只，也是explorer添加启动项，完了……大家保重吧

显示全部楼层 · 发表于 2013-5-30 17:02:09

墨家小子发表于 2013-5-30 17:00
我可以骂人吗？亏了有SS拦截到，不然虚拟机又废掉了

我又抓到一只，也是explorer添加启动项， ...

不可以

虚拟机还会废？有快照，大锅

显示全部楼层 · 发表于 2013-5-30 17:02:48

darkwolf_99 发表于 2013-5-30 16:57
MD这步也拦不到　只拦到发送消息，但阻止后，explorer.exe仍旧被利用

话说，OP拦了 ...

对了OP也可以修改规则，即使explorer被利用添加启动项，OP也能依照自定义规则拦截！

显示全部楼层 · 发表于 2013-5-30 17:04:14

darkwolf_99 发表于 2013-5-30 17:02
不可以

虚拟机还会废？有快照，大锅

谁没事恢复快照啊我很爱惜硬盘的

显示全部楼层 · 发表于 2013-5-30 17:04:38

墨家小子发表于 2013-5-30 17:02
对了OP也可以修改规则，即使explorer被利用添加启动项，OP也能依照自定义规则拦截！

用OP试试呗

看能不能拦住利用exploer

显示全部楼层 · 发表于 2013-5-30 17:05:55

墨家小子发表于 2013-5-30 17:04
谁没事恢复快照啊我很爱惜硬盘的

擦，恢复快照几秒的事情

[可疑文件] VT Detection ratio: 3 / 47 pdqjcnrsctvtvqwkuwb.bfg explorer添加启动项？