如何用Mcafee阻止这个软件是开机自启动

显示全部楼层 · 发表于 2010-11-18 20:12:33

这是一个捆绑了木马的外挂，运行时就在临时目录新建了一个文件，在C:\Program Files\WindowsUpdate新建了两个文件，分别是KB416587.EXE，temp。进程里也有KB416587.EXE，把KB416587.EXE进程结束后，再把KB416587.EXE，temp删除，如果不清理临时文件的话，KB416587.EXE会开机自启动，要说明的是开机启动项、服务、任务计划里都没有KB416587.EXE的影子，想知道KB416587.EXE是如何开机自启动的，求高人指点
附上文件——

显示全部楼层 · 发表于 2010-11-18 20:13:51

这个难道是魔兽大脚？？？

显示全部楼层 · 发表于 2010-11-18 20:18:00

带马的大脚

显示全部楼层 · 发表于 2010-11-18 20:28:13

不太清楚，可搜索一下相关办法，可搜索相关启动注册表删之，文件删之，删除不了，可用相关工具，如unlocker，安全模式也行，实在不行，winpe下绝对能删。看看网上有没有相关办法。可用个大杀毒公司，免费在线扫描一下。虽然麦咖啡可禁止文件运行，但不除根，而且阻止文件运行，组策略就能办得到。

显示全部楼层 · 发表于 2010-11-18 20:40:40

回复 4楼 xxxxxxxfc 的帖子

我只是想弄明白它是怎么能开机启动，没写入注册表、启动项、任务计划，删它很简单，清空一下临时文件就行了

显示全部楼层 · 发表于 2010-11-18 20:45:16

回复 5楼 xietingfeng 的帖子

额，我也不知道，没见过

显示全部楼层 · 发表于 2010-11-19 10:14:38

阻止进程：*
阻止目标：KB416587.exe
行为：读取、写入、执行
然后重启看日志

显示全部楼层 · 发表于 2010-11-19 17:52:32

回复 7楼 sandyyangjie 的帖子

我试过，文件、注册表、端口都阻止，但就是啥日志都没触碰，但也能开机启动

显示全部楼层 · 发表于 2010-11-19 19:40:30

顶7楼

显示全部楼层 · 发表于 2010-11-19 20:09:20

回复 9楼 hanghuo 的帖子

顶什么顶啊，这样能知道我就不会上来请教了

[求助] 如何用Mcafee阻止这个软件是开机自启动

本帖子中包含更多资源