360 7.3 8月平均查杀率85.68%，+主防97.76%,仅供参考,几个老问题正在修复中

x64hips

好吧，既然不止一人无法复现，算我的RP问题。
BOOT.INI没有修改也不影响系统启动，我修改主防结果。

...
leisong 发表于 2010.8.17 16:40

BOOTBAK.INI应该不会影响系统的，你是不是中途用了360的木马扫描或急救箱出现的？BOOTBAK似乎是在特殊情况下云查杀会用于开机修复的，不是木马生成的，木马要感染BOOT.INI也不会留一个BACKUP给你吧

我也是XP SP2测试的，你说的注入系统进程是注入了哪一个？

leisong

回复 401楼 x64hips  的帖子

中途木马扫描的话也是360提示清除残余木马调用的，我现在记不清了，没用急救箱，这个问题不纠结了

注入看361F的图，是1-8 1-9干的，注入RUNDLL32.EXE，且注入的模块文件还显示文件厂商和版本号，文件厂商和木马本体显示的一样，不知道是不是白文件，但主防日志没有显示允许的项目，包括那个计划任务启动项，用XUETR也看到这个启动项，显示同一个文件厂商。
我刚才复测这2个，也失效了。样本无动作自杀，进程自动退出。

   

x64hips

回复

中途木马扫描的话也是360提示清除残余木马调用的，我现在记不清了，没用急救箱，这个问题不纠结了 ...
leisong 发表于 2010.8.17 17:09

RUNDLL32应该不是被注入的，RUNDLL32本身就提供了通过命令行加载DLL的功能，你看到的应该是被运行的DLL，不是被注入的，这种注入对主防不会有影响

计划任务确实是个问题，我们已经在测试相关的针对性功能，很快会发布。

jinzijie

好吧，既然不止一人无法复现，算我的RP问题。
BOOT.INI没有修改也不影响系统启动，我修改主防结果。

...
leisong 发表于 2010.8.17 16:40

我昨晚比你晚一小时左右，1-8   1-9就是没动作的啊。。。看来乃赶上它末日了

jinzijie

17号90%＜360SD 96.67%

1-1貌似就是昨天的1-8(1-9)，啥反应都没...
1-9我杯具，这是什么意思啊。。

2-3也没动静，囧

leisong

1-1联了一会儿网，没有流量，没有动静，自动退出，样本母体自杀

leisong

1-9是FAKE AV，企图镜像劫持360，这个弹框还是第一次见到，开眼界了
这个FAKE AV没以前的厉害，不禁止打开新程序，任务管理器就可以结束，且1-9进程就是FAKE AV的进程，轻易被任务管理器结束，没什么强度，且注册启动项被360阻止，成功拦截

leisong

最后一个样本自杀式退出，100%防御。

jinzijie

最后一个样本自杀式退出，100%防御。
leisong 发表于 2010.8.17 20:48

我1-9貌似内存不能读，囧，啥反应都没

leisong

回复 409楼 jinzijie  的帖子

不是你RP有问题---病毒见了你都躲
就是我RP有问题---病毒见我就发作