2014-10-31 - PHISHING EMAIL

显示全部楼层 · 发表于 2014-11-1 10:08:11

蓝天二号发表于 2014-11-1 09:59
还有几个注册表找到了没？、、

HKEY_USERS\S-1-5-21-2052111302-1960408961-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run下面就默认的和输入法的，没看到别的。
搜了一下注册表，也没有google chrome的。
这应该算是回滚了吧。

显示全部楼层 · 发表于 2014-11-1 10:11:33

ksss5566 发表于 2014-11-1 10:08
HKEY_USERS\S-1-5-21-2052111302-1960408961-682003330-500\Software\Microsoft\Windows\CurrentVersion\ ...

想想也不可能的，怎么可能只回滚注册表，，这类病毒生成的注册表应该是隐藏的，

显示全部楼层 · 发表于 2014-11-1 10:19:47

蓝天二号发表于 2014-11-1 10:11
想想也不可能的，怎么可能只回滚注册表，，这类病毒生成的注册表应该是隐藏的，

并不是只回滚注册表。只关闭spider guard并不会有衍生物生成，注册表也没有被修改，应该是都修复了。
只有先用样本感染一次之后，才存在衍生物清理不干净的情况。你也可以试试GD，能不能在已经被同一样本感染的情况下，再双击样本，能不能删除衍生物。
至于注册表隐藏，我真的不懂啊。

怎么找出来。

显示全部楼层 · 发表于 2014-11-1 10:21:21

ksss5566 发表于 2014-11-1 10:19
并不是只回滚注册表。只关闭spider guard并不会有衍生物生成，注册表也没有被修改，应该是都修复了。
只 ...

再双击，GD照样拦截啊，

显示全部楼层 · 发表于 2014-11-1 10:23:39

蓝天二号发表于 2014-11-1 10:21
再双击，GD照样拦截啊，

我的意思是：先关闭保护，让样本运行成功，生成衍生物。然后再打开保护，再运行样本。这样，第一次样本生成的衍生物都清理了吗？

显示全部楼层 · 发表于 2014-11-1 10:27:49

360提示威胁

显示全部楼层 · 发表于 2014-11-1 10:30:43

蓝天二号发表于 2014-11-1 10:21
再双击，GD照样拦截啊，

关闭预防性保护，双击后，确实找到了注册表项google chrome。再双击没有删除第一次双击生成的注册表项，应该是因为这货只是个动态启发，并不是GD那种类型的主防，所以没有回滚。

显示全部楼层 · 发表于 2014-11-1 10:31:11

蓝天二号发表于 2014-11-1 08:36
看我的歌德塔双击，，超级回滚，，，

gdata的主防真心强大

显示全部楼层 · 发表于 2014-11-1 10:54:18

微点拦截

显示全部楼层 · 发表于 2014-11-1 11:10:16

pbbh07 发表于 2014-11-1 10:31
gdata的主防真心强大

和卡巴比起来怎么样?

[病毒样本] 2014-10-31 - PHISHING EMAIL

本帖子中包含更多资源

浏览过的版块