123   1  /  3  页   跳转

[原创] 关于那个“难删”的3.pif

关于那个“难删”的3.pif

见到几个帖子,说这个3.pif挺NB。
找样本运行了一下,不想他们说的那么难搞。
招数吗,还是用"软件限制策略"禁止病毒程序加载运行;规则用“散列规则”或“路径规则”均可。

设置好上图所示的"软件限制策略"后,重启。删除病毒文件。如果那个3.pif删不掉,用IceSword宰它(因IFEO劫持IceSword不能直接运行-----可以改名运行)。


至于病毒IFEO劫持、删除安全模式问题-----可以用SRENG修复;
病毒更改系统时间问题----自己再改回来就是了。
因中/杀此毒损失的wuauclt.exe----从同样版本的系统中拷贝一个到%system%目录下即可。


用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
最后编辑baohe 最后编辑于 2008-09-29 23:25:17
分享到:
gototop
 

回复:关于那个“难删”的3.pif

猫叔的沙发~
gototop
 

回复 1F baohe 的帖子

散列规则?不需要路径吧?猫叔?
gototop
 

回复: 关于那个“难删”的3.pif



引用:
原帖由 aaccbbdd 于 2008-9-29 23:17:00 发表
散列规则?不需要路径吧?猫叔?


创建“散列规则”,需要确认相应文件的MD5。当然要知道并给出相应程序的路径。

特例:中此毒后,无法建立针对c:\windows\system32\dllcache\wuauclt.exe的散列规则。此时,用路径规则即可。
gototop
 

回复 4F baohe 的帖子

c:\windows\system32\dllcache\wuauclt.exe这个md5和c:\windows\system32\\wuauclt.exe是一样的.禁止一个就行
gototop
 

回复:关于那个“难删”的3.pif

没怎么明白啊,说的挺迷糊的,能在详细点不
gototop
 

回复:关于那个“难删”的3.pif

难懂  不是给我这种人看的
gototop
 

回复:关于那个“难删”的3.pif

还没用过组策略呢,哎,电脑漏洞的地方
瑞星论坛人气低呀
gototop
 

回复:关于那个“难删”的3.pif

哎,两分钟学玩了,组策略不过如此
瑞星论坛人气低呀
gototop
 

回复:关于那个“难删”的3.pif

猫版,是否可以用替换系统文件的方法替换感染文件,然后执行杀毒。。。我这样做的,也清除了病毒。。
时间过得好快。。。。
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT