如何用comodo防御usp10.dll这个病毒？？

backway

那次是实机测试的，没发现它卸载360，只劫持一个程序的。。。
那个又更新了
如果把它阉割，保留卸载360那部分就可以了，可惜俺不会啊

kafan-1

又是一个有签名的毒

backway

没有签名的。

共同进步

我是来看猫捉老鼠的.今年牛年,手下留情.

chp8943

在组策略里限制下就可以了，软件限制里面，干掉他
有时候不一定非要动用hips的

gone3333

胡乱说上两句大家别生气，楼上各位好像都是光说不练，是在比试口头的功夫么？在知道病毒行为之后至少我想看到comodo具体要怎么做。

[ 本帖最后由 gone3333 于 2009-4-10 09:01 编辑 ]

Magis

回LS：

病毒行为：
1.获取当前进程的PID，若当前PID小于等于0x0a，退出进程。
2.判断创建互斥体
3.解密自己数据段释放驱动文件
4. 解密进程名，结束对应进程
5. 添加对迅雷的映像劫持
6. 释放dll并调用

插入进程保护，sysFD生成，映像劫持RD保护，dll调用hook保护。小白说的很清楚了啊

chen月

这个病毒其实感觉蛮厉害的
感染后那里都有
咖啡企业版没防住  也没有使用上的异常
后来换卡巴的时候运行一个软件是发现的
每个程序运行时都有这个病毒
进入安全模式中查出300多个。。。。。

gone3333

是啊，老手应该是一看就明白的，可是象我这样的新手，在看病毒行为看的津津有味之后。

突然发现此文已经完结，在comodo里面具体怎么防我还是不知道，感觉就像在偷窥一美女

拖衣服似的，怎么都没有过上瘾的感觉呢～～

天月来了

这个只建议使用usp10.dll的免疫方式来解决

它不适合用hips类软件来解决

它需要动用阻止不明.dll文件注入进程来解决的。

很多hips类软件没有.dll模块类文件的全局验证功能。

所以不是容易折腾的。