最近IE11被 http://x.jiss360.cn劫持如何解决~~

绯色鎏金

ddzjd439 发表于 2016-4-21 19:37
删除网址又会出现的，好在我用金山卫士锁定了主页，它改不了的，只是打开IE11慢了一点

还会自己改回来？有没有可疑进程什么的？拿ark工具查查看吧
刚拿虚拟机安装了一遍，火绒剑监测，我这水平太低，没看出来它做了什么，就看到那货改了注册表，不过貌似和主页没关系，然后遍历目录，修改lnk文件什么的。

ddzjd439

绯色鎏金 发表于 2016-4-21 20:07
还会自己改回来？有没有可疑进程什么的？拿ark工具查查看吧
刚拿虚拟机安装了一遍，火绒剑监测，我这 ...

这会回家了，我明天试试，再加上PCHunter什么的看看，惹毛了就GHO还原，

zq19861019

ddzjd439 发表于 2016-4-21 20:12
这会回家了，我明天试试，再加上PCHunter什么的看看，惹毛了就GHO还原，

Object: WIN7关闭WIN10升级提示.exe
        Path: F:\迅雷下载\病毒样本\WIN7关闭WIN10升级提示
        Status: Virus, file deleted
        Virus: Gen:Variant.Barys.53076 (Engine A)
gdata扫出来了，你下个gdata试用下，应该就Ok了

ddzjd439

zq19861019 发表于 2016-4-21 21:53
Object: WIN7关闭WIN10升级提示.exe
        Path: F:\迅雷下载\病毒样本\WIN7关闭WIN10升级提示
        Status: Vir ...

OK，好久都没用鸡蛋挞了，3Q

海南仙岛

看一看进程，看一看服务，看一看explorer加载模块 看看IE加载模块，看看系统回调勾子 看看可疑驱动.

尘梦幽然

ddzjd439 发表于 2016-4-21 22:39
OK，好久都没用鸡蛋挞了，3Q

上报该文件至今没有得到ESET回复，今天进行多引擎扫描，ESET依然无检测。


我查了一下，这个文件我在2月27日上报过了，当时赛门铁克回复的结果是NotMalicious，但是我没有太在意。
我向他们追询了这个文件的处理结果，经过我和他们的共同努力，现已添加检测到赛门铁克病毒定义。确实这个文件对于国外杀毒软件厂商来说要鉴别它有一些困难，因为它的恶意行为不明显。

以下是工程师给的结论：

Threat Info: It does not write any registry values, but just modifies the browser shortcut links so that every shortcut to Internet Explorer contain the initial URL of http:// x . jiss360 . cn/.

ddzjd439

尘梦幽然 发表于 2016-4-29 13:56
上报该文件至今没有得到ESET回复，今天进行多引擎扫描，ESET依然无检测。

谢谢尘梦。还是赛门铁克效率高，ESET不是本土化做得不错么，没想到效率这么低下~~~~~~~~~~~

ddzjd439

果然，大蜘蛛也没反映，我下载大蜘蛛扫描器试了，这个扫描器本来是相当强悍的，结果也没查出什么

尘梦幽然

ddzjd439 发表于 2016-5-1 11:00
谢谢尘梦。还是赛门铁克效率高，ESET不是本土化做得不错么，没想到效率这么低下~~~~~~~~~~~

赛门铁克效率高是针对企业客户的，我虽然不是企业客户但是提交也不是常规渠道，没有可比性。
更何况我提交以后要是没有再去追问，肯定这个文件还是不会得到检测。
ESET连中国分公司都没有，何来本土化？然后，至于效率这样，主要原因估计也是因为上报样本是通过普通渠道，没有通过技术支持。再加上这个样本本身对国外的工程师而言分析就有特别的门槛（也许只能在简体中文版windows下运行调试），所以ESET没有给回复也是情理之中。

ddzjd439

尘梦幽然 发表于 2016-5-1 11:05
赛门铁克效率高是针对企业客户的，我虽然不是企业客户但是提交也不是常规渠道，没有可比性。
更何 ...

即便如此，我还是相信ESET的，至少自己的本本台式都是它。给别人安装，avast!、AVG、COMODO、McAfee、Outpost、Symantec、卡巴斯基、趋势、MSE什么的都装过，不过都会被他们自愿不自愿的装回国产全家桶，呵呵~~