FangKuai (6.29)

jdsh

FSP


2019/6/30 11:49:17    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\jdsh\downloads\fangkuaijun.exe
命令行: "C:\Users\jdsh\Downloads\FangKuaiJun.exe"
规则: [应用程序]*

2019/6/30 11:49:22    创建新进程    允许
进程: c:\windows\system32\svchost.exe
目标: c:\users\jdsh\downloads\fangkuaijun.exe
命令行: "C:\Users\jdsh\Downloads\FangKuaiJun.exe"
规则: [应用程序]*

2019/6/30 11:49:27    创建新进程    阻止
进程: c:\users\jdsh\downloads\fangkuaijun.exe
目标: c:\windows\explorer.exe
命令行: explorer.exe https://space.bilibili.com/297140818
规则: [应用程序]*

2019/6/30 11:49:28    创建新进程    阻止
进程: c:\users\jdsh\downloads\fangkuaijun.exe
目标: c:\windows\explorer.exe
命令行: explorer.exe https://space.bilibili.com/430912000
规则: [应用程序]*

2019/6/30 11:49:36    修改注册表值    阻止
进程: c:\users\jdsh\downloads\fangkuaijun.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: https://space.bilibili.com/297140818
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2019/6/30 11:49:41    创建新进程    阻止
进程: c:\users\jdsh\downloads\fangkuaijun.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ftype FangKuaiJun=C:\Users\jdsh\Downloads\FangKuaiJun.exe&assoc .exe=FangKuaiJun&assoc .jpg=FangKuaiJun&assoc .png=FangKuaiJun&assoc .txt=FangKuaiJun
规则: [应用程序]*

2019/6/30 11:49:43    修改注册表值    阻止
进程: c:\users\jdsh\downloads\fangkuaijun.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FangKuai
值: C:\Users\jdsh\Downloads\FangKuaiJun.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2019/6/30 11:49:46    创建文件夹    允许
进程: c:\users\jdsh\downloads\fangkuaijun.exe
目标: C:\FangKuai
规则: [文件]*

2019/6/30 11:49:48    创建文件    允许
进程: c:\users\jdsh\downloads\fangkuaijun.exe
目标: C:\FangKuai\cet.mp3
规则: [文件]*

2019/6/30 11:49:53    创建文件    允许
进程: c:\users\jdsh\downloads\fangkuaijun.exe
目标: C:\FangKuai\ctrl
规则: [文件]*

www-tekeze

温馨小屋 发表于 2019-6-30 11:51
我看了，火绒只报了修改文件关联，火绒的那些文件修改时间还都是10天前的

可能是你表述不恰当，修改的 ...

就是篡改了文件关联啊，没详细说。。。但你那里exe的程序还能用？你试的其它杀软还能启动吗？
反正火绒是彻底凉了。。   @火绒工程师

kaba666

温馨小屋 发表于 2019-6-30 11:48
你还是没懂，99%的用户都是小白，就算不是小白平时也没有那么多时间去处理弹窗，高级用户可以去用comodo ...

卡巴本来就不适合懒人使用！曾经论坛里有不少网友都说过这个话题！卡巴既然都设计了这些功能给用户使用，为何不用呢？用户用不来，那是应外回事,这就不说了！会用的用户不用，那说明他懒！如果真像你说的99%的用户是小白，那我推荐用智量！那玩意最适合小白，没有复杂弹框，不用你动脑去劳累，还有主动防御技术，人工AI技术，用过的都说好，样本区走一波！保证你满意！

温馨小屋

kaba666 发表于 2019-6-30 12:02
卡巴本来就不适合懒人使用！曾经论坛里有不少网友都说过这个话题！卡巴既然都设计了这些功能给用户使用， ...

不适合懒人使用是没有市场的，公司要赚钱，软件必然要自动化，卡巴这个HIPS从10多年前就有了，那时候卡巴弹窗多得很，之后卡巴意识到了这个问题，他们对用户的干扰太多了，我记得还看见过相关新闻报道，从2014开始，卡巴用C#重写了界面，也逐渐云化，发展方向也偏向了自动化，为了控制误报没有设计像ATD那么强大的主防，之前的主动防御模块还是需要手动的，后来就砍掉了主动防御然后推出了系统监控，基本没有什么设置完全自动监控行为，现在就连ATD也去掉了敏感度选项，这是市场的必然选择，你看Comodo市场份额高吗，软件是为大多数人服务的，小众软件大多死无全尸

智量这个东西完全是个不成熟的东西，我不相信现在的AI能解决误报问题，公司体量太小必然导致样本处理量不大，怕是还得像诺顿一样自动杀了之后还需要我去费力还原

温馨小屋

www-tekeze 发表于 2019-6-30 12:01
就是篡改了文件关联啊，没详细说。。。但你那里exe的程序还能用？你试的其它杀软还能启动吗？
反正火绒 ...

诺顿重启可以启动但exe关联被搞坏了，BD直接ATD杀了，杀软们似乎都能规避文件关联篡改，毕竟这是十多年前的病毒手法了

另外很多杀软都是以服务的形式加载的，在winlogin加载之前文件关联是不起作用的，被文件关联干掉的杀软应该只能说没用心。。。

你好，再见

还有bilibili？真是有趣。特别是那两个小时的视频，笑死我了，卡巴和BD被黑得好惨

kaba666

你好，再见 发表于 2019-6-30 12:45
还有bilibili？真是有趣。特别是那两个小时的视频，笑死我了，卡巴和BD被黑得好惨

自动模式卡巴确实被黑，手动就没黑到！

www-tekeze

温馨小屋 发表于 2019-6-30 12:23
诺顿重启可以启动但exe关联被搞坏了，BD直接ATD杀了，杀软们似乎都能规避文件关联篡改，毕竟这是十多年前 ...

像这种恶性的按理微点应该能拦，但很失望！全程没反应，上个重启后的截图。。。

但，发现个惊喜：刚重启时所有exe都被关联到病毒样本，也就是双击任意exe都会启动病毒自身，但十来秒后exe关联恢复正常！还原快照连续试了两次，都能复现。。
又用火绒试也是连试两次，刚开始关联到病毒自身，十来秒后exe无法打开。。。真没这种暗中恢复的能力。。

www-tekeze

kaba666 发表于 2019-6-30 13:02
自动模式卡巴确实被黑，手动就没黑到！

看楼上微点，exe关联被暗中恢复了。。

kaba666

www-tekeze 发表于 2019-6-30 13:19
看楼上微点，exe关联被暗中恢复了。。

恩，那你赶紧换微点用！可以换杀软了