没有任何防护进神网录像，录完像我哭了……有同情心的看完帖子知道怎么做的

ccboxes

erui 发表于 2016-3-31 10:56
那按照你说的这个方式，基本上很多杀毒软件都对付不了，在没有入库的情况下，这种木马运行方式，全部杀毒 ...

实际上这是利用了IE的漏洞才能注入，实际上注入也是很多正常进程的常用技术，智能主防也不能单凭这一步就杀，有漏洞防护的安软有可能能拦，不过关键是不要再用洞窝IE了，上最新版Chrome，有陌生网站要去，直接上Edge。

jmekoda1

pal家族 发表于 2016-3-31 06:10
一大早起来背英语单词。。。。说多了都是泪，there are so many birds in the woods。。。

然后研究下推 ...

来为卡巴平反一下

现在2016流畅的一逼

病毒呵呵  各家漏得还少啊~

测主防  卡巴ksn 文件反病毒通通关掉，未知程序勾选自动入低限制或高限制组(pdm 跳出来添加排除)

开启应用程序控制(hips)
然后各种注入 截屏  完美拦!!

蓝天二号

解压后，， 诺顿 KILL

类别： 已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,活动
2016/3/31 12:41:13,高,检测到 tmpebdc.exe (SONAR.Heuristic.144) (检测方: SONAR),已隔离,已解决 - 不需要操作,已执行的威胁操作: 6
2016/3/31 12:39:45,高,kb04377593.exe (Trojan.Gen.2) 检测方 自动防护,已阻止,已解决 - 不需要操作,已执行的威胁操作: 0
2016/3/31 12:39:40,高,kb04379937.exe (Trojan.Gen.2) 检测方 自动防护,已阻止,已解决 - 不需要操作,已执行的威胁操作: 0
2016/3/31 12:39:39,高,kb04367656.exe (Trojan.Gen.2) 检测方 自动防护,已阻止,已解决 - 不需要操作,已执行的威胁操作: 0
2016/3/31 12:39:37,高,kb04365921.exe (Trojan.Gen.2) 检测方 自动防护,已阻止,已解决 - 不需要操作,已执行的威胁操作: 0

双击后。。。

文件名: tmpebdc.exe
威胁名称: SONAR.Heuristic.144完整路径: 不可用

____________________________

____________________________


在电脑上 
2016/3/31 ( 12:39:26 )

上次使用时间 
2016/3/31 ( 12:39:26 )

启动项 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


tmpebdc.exe 威胁名称: SONAR.Heuristic.144
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip_setup_3.2.0.2100.exe

创建的文件:
360zip.exe

创建的文件:
tmpebdc.exe

____________________________

文件操作

文件: c:\users\microsoft\desktop\新建文件夹\ tmpebdc.exe 威胁已删除
文件: c:\360sandbox\shadow\windows\ kernel32.dll 不需要操作
目录: c:\360sandbox\shadow\users\microsoft\appdata\roaming\ alfsvwjb 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\microsoft\desktop\新建文件夹\tmpebdc.exe, PID:8524) 未采取操作
事件: PE 文件创建: c:\360sandbox\shadow\users\microsoft\appdata\roaming\alfsvwjb\ write.exe (执行者 c:\users\microsoft\desktop\新建文件夹\tmpebdc.exe, PID:8524) 未采取操作
事件: 进程启动: c:\users\microsoft\desktop\新建文件夹\ tmpebdc.exe, PID:8524 (执行者 c:\users\microsoft\desktop\新建文件夹\tmpebdc.exe, PID:8524) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

ccboxes

jmekoda1 发表于 2016-3-31 12:34
来为卡巴平反一下

现在2016流畅的一逼

这样也测不到单独的主防，卡巴的主防也会调用病毒库，至于平反，卡巴的防护能力也没几个人黑啊，多逛逛版区，发帖抱怨的不都是BUG不断吗。

jmekoda1

病毒库叫弹除叫出来的启发都可以先按排除信任

直接入hips 看看各种行为 ，各种注入底层操做完美(手动)拦~

bug，我没遇到过啥bug ,可能都是用的稳定版本号的原因?

我的机器 用BD不能说卡但CPU 老是要20%到30%的使用率
ATC是强大，但前几天也被过了~  

rrorr

dongwenqi 发表于 2016-3-31 10:16
19楼卡巴斯基云入库可以查杀了，你为何没查到？难道你关闭了云？

是的，我断网了

dongwenqi

rrorr 发表于 2016-3-31 13:00
是的，我断网了

云安全网络没必要断网吧

lovelive10010

卡巴KILL所有，卡巴真厉害

kxmp

墨家小子 发表于 2016-3-30 22:17
M开头那个神网，今天神网进化了，出来的样本都不一样
录像为什么会被加密，我不会等它加密完再停止录像 ...

刚才curl拉了下主页 发现下面还是没有被插东西...
难道你ss网络被劫持了

erui

ccboxes 发表于 2016-3-31 12:33
实际上这是利用了IE的漏洞才能注入，实际上注入也是很多正常进程的常用技术，智能主防也不能单凭这一步就 ...

明白你的意思，原来是IE浏览器的漏洞给了木马病毒提供了方便。