【倒霉催的】也不知道咱大ESET是不是能搞定这个玩意儿

显示全部楼层 · 发表于 2013-10-5 17:28:28

comodo玩过，XP时代的EQ和ProSecurity也玩过，eset的hips还不完善，希望它能更好再更新啊

显示全部楼层 · 发表于 2013-10-5 18:59:04

本帖最后由 y576926046 于 2013-10-5 19:05 编辑

anycall9696 发表于 2013-10-4 23:26
肯定能防，小问题！太简单了
很简单，带规则的自动模式，HIPS里建立规则，直接拒绝这个动作，上个例子给你 ...

http://bbs.kafan.cn/thread-1636421-1-1.html

忘了放样本地址了

我的汉化包就是 ESET 删的，也不是删，就是隔离了

再然后我那个从隔离区恢复并且不扫描的选项是灰色的，结果每次恢复就又隔离，恢复立马隔离%……&#%@%

等下我继续安装试试看吧

显示全部楼层 · 发表于 2013-10-5 19:10:05

本帖最后由 anycall9696 于 2013-10-5 19:11 编辑

y576926046 发表于 2013-10-5 18:59
http://bbs.kafan.cn/thread-1636421-1-1.html

忘了放样本地址了

eset一般不误报的，既然隔离就认为是病毒了，你最好找在线杀软，多杀软检测一遍，如果多数知名杀软报毒（小红伞，卡巴斯基，BD,赛门铁克，avast，eset），你就不要相信这个汉化包，如果大多不报，就eset报，可以判断为误报，就用三楼最后那个图，排除就行了

你那个样本是干啥的？非的运行不可么？可以用HIPS禁止任何程序启动此文件，这文件就没用了

显示全部楼层 · 发表于 2013-10-5 19:11:53

anycall9696 发表于 2013-10-5 19:10
eset一般不误报的，既然隔离就认为是病毒了，你最好找在线杀软，多杀软检测一遍，如果多数知名杀软报毒（ ...

这个样本是我昨天遇到的流氓软件

如果您有时间的话，可以用虚拟机试试看吗？

主流软件扫描全过，看楼下回复360带红伞的好像也没办法

显示全部楼层 · 发表于 2013-10-5 19:14:13

y576926046 发表于 2013-10-5 19:11
这个样本是我昨天遇到的流氓软件

如果您有时间的话，可以用虚拟机试试看吗？

这玩意过杀软，太正常了，这就不是病毒的行为……
如果在没中招之前，你机器要是有hips，即使过了杀软，要运行也要经过HIPS同意啊，难道你看到这些乱七八糟的动作会不拒绝么

显示全部楼层 · 发表于 2013-10-5 19:18:07

anycall9696 发表于 2013-10-5 19:14
这玩意过杀软，太正常了，这就不是病毒的行为……
如果在没中招之前，你机器要是有hips，即使过了杀软， ...

我是 12M电信，网速那叫一个快

电脑配置也不错，所以你懂的，刷刷刷的，给我安装了几个浏览器，几个播放器，几个杀软，还给我换了输入法………………………… 一整个桌面都是那些玩意儿

显示全部楼层 · 发表于 2013-10-5 20:23:07

本帖最后由 anycall9696 于 2013-10-5 20:30 编辑

y576926046 发表于 2013-10-5 19:18
我是 12M电信，网速那叫一个快

电脑配置也不错，所以你懂的，刷刷刷的，给我安装了几个浏览器，几个播 ...

测试过了，如果有HIPS，只有小白才会中毒

第一步：直接要求访问硬盘（这是个及其危险的动作，可以逃避掉安软的一些监控，一般来说，只有DiskGenius啦HDTunePro这些要对硬盘处理的软件才会有这样动作），如果是我，第一步就拒绝了，现在虚拟机，下一步……

要求修改受保护的注册表，看清楚，受保护的，修改系统文件的注册表，下一步

这一步，要联网？？？？？？难道你看不出这是个单机的辅助小软件么，为什么要联网，没说的，直接拒绝！！为了继续，允许通过（这一步，ESET的HIPS不会提示，但是防火墙会提示）

下面这个不是HIPS提示，是防火墙提示，eset没测试，应该也有，也是警告联网的，comodo开的是默认防火墙，说明comodo检测到了问题

要执行另一个可执行文件，到底要干什么？

要控制cmd.exe，这个不算危险动作

修改防火墙的接口？这要干啥？？？？？？你要是还有一点基础知识，还不拒绝？？？？

没有再往下测试，往下的估计是要联网了，下载软件，下载之后comodo还会不停的弹出询问，是不是安装某个软件，某软件的动作，不测了，正常的话，第一步就是及其危险的动作，直接就应该拒绝，在一个危险动作是联网，一个单机辅助的软件，联网干什么？当然，要是第一步拒绝了，就不是这个结果了，会变成其他动作，但是肯定都是危险动作

最后的结论，流氓的不是DNF多键连发辅助.exe，真正在破坏的是ChaoRen.exe，前者做的所有动作，都是给后者铺垫

显示全部楼层 · 发表于 2013-10-5 23:10:18

楼主你想多了！
一般我用opera下载特殊的文件，被提示会出现两次提醒，不会直接删掉，两次都点“离开”就会自动完成最后99%的下载！

记住哦！会提示两次，两次都点离开就会放行了！

还是人性的，绝对不会强制删除！

今天去玩了一下挂马的网站，ESET的防御和FS没太大的差别！至少FS报毒的网站，用opera登陆，都会出现ESET的界面提醒，右下角弹窗！

显示全部楼层 · 发表于 2013-10-6 11:00:59

anycall9696 发表于 2013-10-5 14:47
不要使用交互模式，否则电脑里狗屁大点的事都要弹窗询问你，用带规则的自动模式，主要就是，加载驱动（对 ...

我之前用卡巴放流氓的思路是防止其安装，还特意写过一个帖子。
http://bbs.kafan.cn/thread-1632551-1-1.html

显示全部楼层 · 发表于 2013-10-6 11:53:13

bbszy 发表于 2013-10-6 11:00
我之前用卡巴放流氓的思路是防止其安装，还特意写过一个帖子。
http://bbs.kafan.cn/thread-1632551-1-1 ...

暂时没人气了，明天补上

话说他装的都不是这些东西，都是一些杂七杂八的玩意儿，什么货色都有

[求助] 【倒霉催的】也不知道咱大ESET是不是能搞定这个玩意儿

本帖子中包含更多资源

评分