在病毒面前Tiny是垃圾？

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛在病毒面前Tiny是垃圾？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-02 13:51 \| 显示全部短消息资料字号：小中大 1楼在病毒面前Tiny是垃圾？昨天，帮人处理了一起“随机8位数”.exe病毒中毒案。这位仁兄的系统是XPSP2，全补丁。Tiny防火墙是我给他装的，卡巴斯基是他自己找的。这样的系统防护，一般来说，不大容易中毒。这位仁兄灰头土脸地来找我时，我还说：没大事，可能是些蟊贼而已。来到他电脑前，看看任务栏——Tiny和卡巴的图标全无！这才感到问题比我想象地严重。估计是中了最近流行的worm.agent或worm.pabug之类的东东。从我的U盘中找出改过名的IceSword和autorans，拷到其电脑中（以感染我的U盘为代价）。双击运行————没用！这现场——真是够恶心的！ Tiny到底垃圾不垃圾，这是后话了。先解决眼前的问题吧。看看WINRAR能用否？双击WINRAR试试。还行！！有希望。一通查找。找到病毒文件，先尝试这些简单的办法——试试可否改其名称。改是能改。不过，过一会儿，病毒又将文件名改回去了！但速度不是很快。有机可乘！哈哈！该轮到俺出歪招了！用WINRAR找到C:\Program Files\Common Files\Microsoft Shared文件夹中的423F27F3.dat，胡乱改一个后缀（改为.zz）。立即按reset按钮（就是主机上那个被戏称为“肚脐眼”的东东），重启。系统报日期不对。进入BIOS，改正过来。重启后，看看这步改名操作成功没？成了（图1）！图1 附件: 文件名:155847200762134100.jpg 下载次数:370 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-2 13:51:08 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-06-11 00:23:08.310000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-02 13:51 \| 显示全部短消息资料字号：小中大 2楼别高兴太早啊。走到这步，病毒依然是活的。不过，这么一来，此毒等于被阉割了。下面的主动权基本上是我的了！运行刚拷过来的改名的IceSword——OK! 禁止进程创建，强制删除423F27F3.zz和423F27F3.dll——OK！（图2）图2 附件: 文件名:155847200762134140.jpg 下载次数:364 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-2 13:51:48 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-02 13:53 \| 显示全部短消息资料字号：小中大 3楼重启系统，然后，一一删除病毒的其它文件——OK！（图3）。用autoruns删除病毒添加的启动项和IFEO劫持项。再将原先备份的注册表项（HKLM\...\SREVICES、SAFEBOOT、HKLM...\HIDDEN等等的.reg文件）导入注册表。再次重启。重启后，这位仁兄的Tiny和卡巴均能正常加载运行了。用升级病毒库后的卡巴再全盘杀一遍。没毒了。图3 附件: 文件名:155847200762142733.jpg 下载次数:393 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-2 13:53:04 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-02 13:54 \| 显示全部短消息资料字号：小中大 4楼至此，一个重要的问题还没弄清————在这类病毒面前，Tiny真的是垃圾？右击任务栏中Tiny图标，点击run administration center，一一检查这位仁兄搞的设置。查到N多不妥之处（不一一细说了）。最令我不能容忍的是，这位仁兄将Tiny设置中“system privileges”的“系统权限/代码注入等防护”规则改成了这个样子（图4）。实际上，这样的设置等于删除了这条规则，自废武功了！图4 附件: 文件名:155847200762134403.jpg 下载次数:346 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-2 13:54:12 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-02 13:54 \| 显示全部短消息资料字号：小中大 5楼我认为：Tiny的“系统权限/代码注入等防护”规则比较合适的设置是这样（图5）。就凭这条设置，大多数病毒，即使进入了用户的电脑，也难掀起“大浪”。处理起来，也比较容易。当然，Tiny的设置很灵活，用户可以根据自己系统的实际情况改动。但无论怎么改动，system privileges中的“系统权限/代码注入等防护”规则绝不能采用这位仁兄的设置方式。结论：Tiny并不垃圾。我这位仁兄倒是有点儿垃圾（乱搞）！图5 附件: 文件名:155847200762134438.jpg 下载次数:336 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-2 13:54:47 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-06-02 14:41 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【天月来了的贴子】这个文件改名，本不错，就不知来这求助的，做不做得到。

………………

文件改名————最一般的操作。估计是个人就会。
关键是————要“眼疾手快”。改完后，立即重启系统。不给病毒重新改过之机。动作协调欠佳的，可以考虑“关闭电源”。这应该容易吧？

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-06-02 15:04 | 显示全部 短消息资料

字号：小中大 7楼

引用:

【孤独更可靠的贴子】刚刚起来又看到猫叔的贴子``

学习了``

那个随机8位数字的另个变种?7位数字的,

好像能挂SSM和Tiny,我好友告诉我的``

不知道是不是真的``

………………

见到过这样的变种（且不止一个）。
但是，病毒挂掉Tiny的前提是：用户的设置不妥（图4那样的）。
如果按图5的设置，不关闭Tiny的任何模块，这类病毒搞不掉Tiny。因为Tiny是开机加载运行的；病毒是后来才进入系统的。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-02 15:39 \| 显示全部短消息资料字号：小中大 8楼【回复“孤独更可靠”的帖子】不愿换系统，甚至不愿换电脑，可能还有一个“感情”问题。我的IBM旧本本，用了6年了。现在已经落伍了。新买了一个联想酷瑞双核本，那速度是没的说了。但我还是喜欢这个IBM的老本本。 ________ http://forum.ikaka.com/topic.asp?board=28&artid=8317597 这个帖子中说的“奇异现象”，同样条件下，用联想的新本本就重复不出来！不知何故。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-06-02 15:54 | 显示全部 短消息资料

字号：小中大 9楼

引用:

【xin01的贴子】我是是联想旭日。410M的。有一键灰复功能。按理说灰复过后会好的。可是还是不行，现在自己正版的系统不能用。只能用电脑公司的软件。~~~~~！
………………

一键恢复后，系统盘是否无毒了？
这是个基本问题。
请回答。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-06-02 16:10 | 显示全部 短消息资料

字号：小中大 10楼

引用:

【xin01的贴子】灰复为出厂设置按理说是没事了..不动它就没事,不过我知到我的本本肯定是硬盘上感染了.要格才有用....
………………

处理那些“浑然不觉”状态下中的病毒————就像刑警侦破案件一样。
先一步步搞清案情的各个环节。不能有什么“按理说”的说法。与病毒过招，有时就不能按牌理出牌。
如果一键恢复后，系统分区OK，可以升级杀软病毒库，全盘查杀一次。
如果杀软启动仍是问题，至少，也应该用合适的工具打开非系统分区（切记不要直接双击打开），查找有无异常文件。如果有————删！

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-02 13:51 \| 显示全部短消息资料字号：小中大 1楼在病毒面前Tiny是垃圾？昨天，帮人处理了一起“随机8位数”.exe病毒中毒案。这位仁兄的系统是XPSP2，全补丁。Tiny防火墙是我给他装的，卡巴斯基是他自己找的。这样的系统防护，一般来说，不大容易中毒。这位仁兄灰头土脸地来找我时，我还说：没大事，可能是些蟊贼而已。来到他电脑前，看看任务栏——Tiny和卡巴的图标全无！这才感到问题比我想象地严重。估计是中了最近流行的worm.agent或worm.pabug之类的东东。从我的U盘中找出改过名的IceSword和autorans，拷到其电脑中（以感染我的U盘为代价）。双击运行————没用！这现场——真是够恶心的！ Tiny到底垃圾不垃圾，这是后话了。先解决眼前的问题吧。看看WINRAR能用否？双击WINRAR试试。还行！！有希望。一通查找。找到病毒文件，先尝试这些简单的办法——试试可否改其名称。改是能改。不过，过一会儿，病毒又将文件名改回去了！但速度不是很快。有机可乘！哈哈！该轮到俺出歪招了！用WINRAR找到C:\Program Files\Common Files\Microsoft Shared文件夹中的423F27F3.dat，胡乱改一个后缀（改为.zz）。立即按reset按钮（就是主机上那个被戏称为“肚脐眼”的东东），重启。系统报日期不对。进入BIOS，改正过来。重启后，看看这步改名操作成功没？成了（图1）！图1 附件: 文件名:155847200762134100.jpg 下载次数:370 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-2 13:51:08 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-06-11 00:23:08.310000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 在病毒面前Tiny是垃圾？

在病毒面前Tiny是垃圾？

在病毒面前Tiny是垃圾？

附件:

文件名:155847200762134100.jpg 下载次数:370 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(39213); 上传时间:2007-6-2 13:51:08 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200762134140.jpg 下载次数:364 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(37011); 上传时间:2007-6-2 13:51:48 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200762142733.jpg 下载次数:393 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(104513); 上传时间:2007-6-2 13:53:04 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200762134403.jpg 下载次数:346 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(313025); 上传时间:2007-6-2 13:54:12 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200762134438.jpg 下载次数:336 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(109537); 上传时间:2007-6-2 13:54:47 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛在病毒面前Tiny是垃圾？

文件名:155847200762134100.jpg

下载次数:370

文件类型:image/pjpeg

文件大小:

上传时间:2007-6-2 13:51:08

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200762134140.jpg

下载次数:364

文件类型:image/pjpeg

文件大小:

上传时间:2007-6-2 13:51:48

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200762142733.jpg

下载次数:393

文件类型:image/pjpeg

文件大小:

上传时间:2007-6-2 13:53:04

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200762134403.jpg

下载次数:346

文件类型:image/pjpeg

文件大小:

上传时间:2007-6-2 13:54:12

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200762134438.jpg

下载次数:336

文件类型:image/pjpeg

文件大小:

上传时间:2007-6-2 13:54:47

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01