想法是在昨天,帮一个朋友远程处理病毒,发现中了木马群,并且病毒修改了系统文件,最后大约提取了100多个的病毒DLL\EXE.并且将他们全部删除,然后修复了系统文件,再使用卡卡安全助手扫描了启动项,确定没有病毒遗留了就让该朋友重启了
重启之后,发现病毒又复活了.木马群又被下载回来了.
最后通过瑞星检查瑞星的监控记录,发现有一个应用程序居然被十多个病毒感染了.
其中一些病毒瑞星清除了,但是应用程序文件还是超过大小(还有感染有未知的病毒)
所以,我觉得瑞星有没有必要出一个监控模式(寻找毒源)?
手工清理完了,还是会再出现,有一个未知的病毒感染了其它程序. 这个问题如果是普通用户遇到的话,病毒利用Autorun.inf之类的方式,恐怕只有全部重新分区才能解决..
监控毒源说明:
监控毒源就是相当于一个特殊的程序或者是特殊的监控之类的,不依赖RavMonD.exe,不删除任何文件,不执行任何拦截操作(以免与其它应用程序冲突)
当用户启动这个模式之后记录在各个盘的根目录下和windows fonts system32 drivers的程序相关(.exe;.dll;.sys)文件创建、修改,和DLL的进程注入
把执行动作的程序和被修改的程序都记录在一个日志文件里面
当用户发现有病毒杀掉之后,重启,病毒又复活之后(始终杀不掉),启动这个模式,就能提供这个日志文件给瑞星工程师分析了(要是能自动提示上报可疑文件就更好了)
因为远程时,这样的是最不好处理的。
我希望毒源监控是独立的
最好这个毒源监控能自动上报就好了。如果说出这个程序,病毒也会想办法搞掉的。。
那么我希望这是一个独立的监控程序,可以使用随机的文件名,随机的驱动名.
用户启动这个"毒源监控"程序之后,这个程序释放驱动,并且在本目录下加载这个驱动,加载完之后,就自动删除加载驱动(类似Wsyscheck等手工工具),驱动不随机启动(如果说记录这些操作,并不会与其它的应用程序冲突,那驱动最好也可以随机启动,这样监控更全一点),
方便的话,能自动将毒源监控记录发送到论坛,然后由瑞星客服或者是工程师或者是云安全,他们自动分析日志或者是自动分析样本.
有这个尝试应该比没有要好些吧?如果不能集成在RIS2010中,出现在专杀列表里也不错啊.要是能集成在未来的卡卡7.0里也不错
我就希望是以专杀一样的工具实现,加载驱动之后,就自动删除驱动
这样希望能让菜鸟用户的头疼更少一点,解决问题的线索更多一点.
媳妇去疯狂购物了?
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; baiduds; .NET CLR 1.1.4322)
