毛豆怎么防不了暴风影音添加服务项？

ring0biao

回复 10楼 mygames10  的帖子


    上图了……大家看看

xiaoha54

你隔离的不是暴风的主程序把。。。。怀疑是不是主程序在搞鬼。。

ps:主程序是Strom.exe

ring0biao

回复 12楼 xiaoha54  的帖子


    stormliv.exe  是这个东西，我已经不允许它干任何事了，但它还能加载服务项……

xiaoha54

回复


    stormliv.exe  是这个东西，我已经不允许它干任何事了，但它还能加载服务项……
ring0biao 发表于 2010.7.9 11:07

我的意思是有可能你规则不完善，主程序在背后捣鬼（要知道你已经允许它两互相访问了），而毛豆没有发现。。所以建议把主程序加入毛豆，然后适当的给一下权限

最好用杀软看一下有没有毒（两个都要）

ring0biao

回复 14楼 xiaoha54  的帖子

你说是主程序加服务项的？但那个暴风的主程序没有弹框提示哦，我对主程序的规则是一切询问的，而注册表保护中也有了服务项的注册表。至于杀毒说……加的服务项可以使用任何的工具给关掉，且有暴风的签名。如果是病毒，自我保护该不会这么差吧~
**************************************************************************以下是两个exe在多引擎扫描的结果41个杀软只有四个报Avast        4.8.1351.0        2010.05.08        Win32:Malware-gen
Avast5（这个……）        5.0.332.0        2010.05.08        Win32:Malware-gen eSafe        7.0.17.0        2010.05.06        Win32.Banker  GData        21        2010.05.09        Win32:Malware-gen
    以上是主程序的
********************************************************************************************************************************************
这个是那个服务项的，没有杀软报毒**********************************************************************************

ring0biao

回复 14楼 xiaoha54  的帖子


    难道主程序这么强大能加启动项不报？

xiaoha54

P回复 


    难道主程序这么强大能加启动项不报？
ring0biao 发表于 2010.7.9 11:57

就是你点了允许他们互相访问才有问题....当然不是点的本身有问题，而是你这一点，让那个程序被移到全局规则上面去了，你可以去看一下，是不是暴风的程序在最上面....


你要把他移下去，移到全局规则下面，然后自己设置一下权限....



PS：建议把那两个文件投到样本区，让样本区的人分析一下...（我说的是暴风的那两个）

ring0biao

回复 17楼 xiaoha54  的帖子


    无论规矩在最上方还是最下方结果都是一样，运行stormliv.exe的时候就自动多了一条服务项（有数字签名、可结束可停止的）。难道毛豆在我允许暴风调用程序后就默认允许起加启动项了？

mygames10

你要一条一条的确认，你一选择信任还勾了记住，那后面它干了什么也看不到啊。
先检查下注册表访问有无阻止HKLM\SYSTEM\ControlSet???\Services\*
COM访问有无阻止\RPC Control\ntsvcs

xiaoha54

回复


    无论规矩在最上方还是最下方结果都是一样，运行stormliv.exe的时候就自动多了一条服务项（有 ...
ring0biao 发表于 2010.7.9 17:43

你有没有给程序弄好权限....权限没改变,上下当然一样....


LS正解~~~