setup.hta主防完美拦截，不过产生大量垃圾。。。 标题补丁exe 加长加长 嘿嘿

leisong

回复 1楼 dm34343667 的帖子

第一张图你没截全，补上日志


时间        操作        说明        次数
09:03:26        已清除        发现木马：W32/Tufik.C        1
详细描述：
木马名称：W32/Tufik.C
所在路径：C:\PROGRAM FILES\MANISOFT\UPDATE.EXE
09:03:23        自动阻止        进程创建        1
详细描述：
进程：C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\TEMPLATES\TMP.EXE
动作：进程创建
路径：C:\PROGRAM FILES\MANISOFT\UPDATE.EXE
09:03:20        自动允许        修改 关键应用程序DLL文件        1
详细描述：
进程：C:\Documents and Settings\Administrator\Local Settings\Temp\GLB4B.tmp
动作：重命名
路径：C:\Program Files\ymLevel2_Taste\~GLH000c.TMP
09:03:19        自动允许        修改 关键应用程序DLL文件        1
详细描述：
进程：C:\Documents and Settings\Administrator\Local Settings\Temp\GLB4B.tmp
动作：重命名
路径：C:\Program Files\ymLevel2_Taste\~GLH000a.TMP
09:02:52        自动阻止        修改 快捷方式        1
详细描述：
进程：C:\WINDOWS\system32\mshta.exe
动作：删除
路径：C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet 浏览器.lnk
09:02:51        自动阻止        进程创建        2
详细描述：
进程：C:\WINDOWS\SYSTEM32\MSHTA.EXE
动作：进程创建
路径：C:\WINDOWS\SYSTEM32\CMD.EXE
09:02:50        自动阻止        修改 默认浏览器主页        1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\[Start Page]
注册表内容：http://%77%77%77%2E%33%33%35%33%2E%63%63/5/
进程：C:\WINDOWS\system32\mshta.exe
09:02:50        自动阻止        修改 默认浏览器主页        1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\[Start Page]
注册表内容：http://%77%77%77%2E%33%33%35%33%2E%63%63/5/
进程：C:\WINDOWS\system32\mshta.exe
09:02:50        自动阻止        修改 快捷方式        1
详细描述：
进程：C:\WINDOWS\system32\mshta.exe
动作：试图修改
路径：C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internat Explorer.url
09:02:50        自动阻止        修改 快捷方式        1
详细描述：
进程：C:\WINDOWS\system32\mshta.exe
动作：试图修改
路径：C:\Documents and Settings\All Users\桌面\Internat Explorer.url
09:02:49        已阻止        修改 协议关联图标        1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Classes\HTTP\DEFAULTICON\[]
注册表内容：C:\Program Files\Internet Explorer\IEXPLORE.EXE
进程：C:\WINDOWS\system32\mshta.exe
09:02:39        已阻止        进程创建        1
详细描述：
进程：C:\WINDOWS\SYSTEM32\MSHTA.EXE
动作：进程创建
路径：C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

============================================

流氓动作该阻止的都阻止了，捆绑安装正常程序智能主防是不管的，否则无法保证易用性

流氓、木马、正常程序一起安装，已经遇到过好多了

XMonster

leisong 发表于 2011-1-10 09:17
回复 1楼 dm34343667 的帖子

第一张图你没截全，补上日志

感谢指教，我还要向你学习 确实智能主防面对捆绑正常文件 又要保证易用确实是难上加难 rq恢复不上。对了，还要请教下qvm hips…

leisong

回复 42楼 dm34343667 的帖子

QVMHIPS要问官方人员了，我自己也不知道具体什么样的，只从官方的只言片语中知道QVMHIPS等于开了高启发，防御能力比QVM加入解压模块还要高，我不会知道的比别人多的

XMonster

回复 43楼 leisong 的帖子

恩，那不是加入卫士后，就不需要杀毒了？不过zdolo在研究脚本引擎…

小紫英

QVM本来就不扫非PE，何来过QVM一说

XMonster

回复 45楼 小紫英 的帖子

哦，学习咯

卡卡西欧

回复 39楼 dm34343667 的帖子

不是这意思、是平时不是病毒的东西、他也提示、
是病毒的时候提示你就会觉得他可能误报

李白vs苏轼

hta文件由于代码为网页，是一种特殊的可执行程序
估计杀软是按网页来查的

XMonster

回复 47楼 卡卡西欧 的帖子

不是病毒的，就不会有提示    除非手动模式，绿色安全的框也会提示    黄色，红色就是危险的，病毒才会提示…

李白vs苏轼

回复 45楼 小紫英 的帖子

hta ms最近变嚣张了
很多杀软都忽略了 望加强