两个explorer.exe...能否判断真假？！

liulangzhecgr

回复
是免安装版的，以前在江民的官网可以下到，清理IE的工具，很不错
zhuzao110 发表于 2010.9.20 14:15

可能你搞错啦!桌面没有创建快捷方式的图标啊...!windows也有自带的桌面清理向导。。。！
我说的是explorer.exe 而不是iexplore.exe...

zhuzao110

哦，是的

找不到新用户名

回复 11楼 liulangzhecgr  的帖子
我也囧了
没有虚拟机和沙盘，用HIPS详细的记录应该能找到动作的

   

liulangzhecgr

回复
我也囧了
没有虚拟机和沙盘，用HIPS详细的记录应该能找到动作的
找不到新用户名 发表于 2010.9.20 18:31

hips下运行病毒的人一般碰到威胁就阻止或者阻止并且结束进程。。。那样不会中毒！但病毒受阻碍。。。不会病毒的所作所为！

用虚拟机或者沙盘就 好。。。不过古董机子装不了那么多！

实际操作时我用temp文件夹下的explorer.exe 替换系统文件夹的explorer.exe 文件。。。重启还是没有解决再中毒的厄运。。。！
最后拿网盾修复时知道系统文件夹下的explorer.exe有反常（我也不清楚）！网盾问:否重启时，暂时隔着 用filetool删除temp下的explorer.exe以及驱动级文件..., 再重启！后来解决问题的！
解决问题后心里老是琢磨这件事（系统文件被感染不可能通过数字签名验证吧！同理伪造的系统文件也不可能有数字签名啊！）。。。想要听听各位的看法而发帖子！。。。

找不到新用户名

回复 14楼 liulangzhecgr  的帖子
所以才要虚拟机直接让MD什么都记录而不阻止才知道全部行为

   

liulangzhecgr

回复
所以才要虚拟机直接让MD什么都记录而不阻止才知道全部行为
找不到新用户名 发表于 2010.9.20 18:44

我就这么笨！已经好几个星期没有打开eq，删除人家的规则测试病毒就好啦。。。！
谢谢提醒！

天月来了

用XT终止两个桌面进程，然后在XT的文件项内找那个Windows文件夹内的桌面文件，复制出来看文件情况如何

病毒对系统的恶搞，有时候工具会误判断

tawny2008

hips下运行病毒的人一般碰到威胁就阻止或者阻止并且结束进程。。。那样不会中毒！但病毒受阻碍。。。不 ...
liulangzhecgr 发表于 2010.9.20 18:40

这么好的样本应该好好保存才是，还留有样本吗？
哦。。就是9楼那个？

穿越星空

回复 6楼 zhuzao110  的帖子
　　误导

穿越星空

回复 4楼 liulangzhecgr  的帖子
　　请相信数字签名的结果，不是说谁有数字签名，而是谁有微软的数字签名。