搜索
12
返回列表 发新帖
楼主: jeff_gx
收起左侧

[求助] odin病毒

[复制链接]
jeff_gx
 楼主| 发表于 2016-10-19 14:41:09 | 显示全部楼层
规则名称:禁止更改所有文件扩展名的注册  要包含的进程:* 要排除的进程:C:\Windows\explorer.exe, C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Program Files (x86)\Microsoft Office\Office14\msohtmed.exe, C:\Program Files\Microsoft Office\Office14\msohtmed.exe 说明:不添加排除,勾选报告,在手动调整文件管理时如果触红,可以暂时禁用此规则

这条是不是有效呢?中毒后的 是将OFFICE文档的后缀名给改了。
gzmaybe
发表于 2016-10-19 16:13:23 | 显示全部楼层
本帖最后由 gzmaybe 于 2016-10-19 16:14 编辑
jeff_gx 发表于 2016-10-19 14:35
这条规则也是用别人的。所以来问下


如果是使用VSE或者MSE,要防止勒索软件的话,可以根据Mcafee提供Guideline来设定规则


https://kc.mcafee.com/corporate/index?page=content&id=PD26383
QQ截图20161019161232.png
jeff_gx
 楼主| 发表于 2016-10-21 11:32:01 | 显示全部楼层
楼上哥们太专业了。我已经按你的方法新建了,是不是这样就不会再中这个毒了?
QQ图片20161021113056.png
柯林
发表于 2016-10-21 16:51:23 | 显示全部楼层
jeff_gx 发表于 2016-10-21 11:32
楼上哥们太专业了。我已经按你的方法新建了,是不是这样就不会再中这个毒了?

你确定这个病毒是由rundll32.exe来搞破坏?先找到病毒源吧,不然,又悲剧了。

防勒索,VSE一般有两种选择:1、保护重要文件   2、禁止病毒产生
ly910326
发表于 2016-10-22 13:41:49 | 显示全部楼层
首先要先整明白 勒索从何而来,其次勒索隐藏在本地的激发条件,第三才是预防,

McAfee的告示,只是一种引导,最后规则要根据情况具体的分析,设置规则。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-12-12 17:18 , Processed in 0.076022 second(s), 17 queries .

快速回复 返回顶部 返回列表