瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 瑞星2008主动防御应用,谁在创建auto.exe?

1   1  /  1  页   跳转

瑞星2008主动防御应用,谁在创建auto.exe?

收藏
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 12:59 | 显示全部 短消息 资料
字号: 1楼

瑞星2008主动防御应用,谁在创建auto.exe?

本文通过一个简单的小例子演示了如何使用瑞星2008的主动防御发现auto.exe被谁生成,大家可以通过这个简单的例子举一反三,利用瑞星2008的主动防御解决很多病毒删除后又会自动生成的问题。

1、每个盘符下都有autorun.inf和auto.exe,删除后马上又会生成

附件附件:

下载次数:251
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 12:59:57
描述:
预览信息:EXIF信息



最后编辑2008-04-18 23:58:03
分享到:
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 13:00 | 显示全部 短消息 资料
字号: 2楼

2、打开瑞星2008的主动防御设置,选择【应用程序访问控制】-【添加】

附件附件:

下载次数:217
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 13:00:42
描述:
预览信息:EXIF信息
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 13:01 | 显示全部 短消息 资料
字号: 3楼

3、选择所有进程,即“*”,点【确定】

附件附件:

下载次数:245
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 13:01:04
描述:
预览信息:EXIF信息
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 13:01 | 显示全部 短消息 资料
字号: 4楼

4、上面的系统动作限制本例中用不到,主要是下面的注册表和文件访问控制,点击【添加】

附件附件:

下载次数:241
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 13:01:13
描述:
预览信息:EXIF信息
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 13:01 | 显示全部 短消息 资料
字号: 5楼

5、在弹出的下拉菜单中选择【文件】

附件附件:

下载次数:216
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 13:01:32
描述:
预览信息:EXIF信息
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 13:01 | 显示全部 短消息 资料
字号: 6楼

6、规则名称任意填写,点击监控目标后的【选择】,定位到c:\auto.exe,监控操作勾选【创建】,触发动作选【放过】(当然选提示或拒绝也可以啦),最后点【确定】

附件附件:

下载次数:210
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 13:01:49
描述:
预览信息:EXIF信息
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 13:01 | 显示全部 短消息 资料
字号: 7楼

7、在这看到已经多了一条文件规则,点【确定】

附件附件:

下载次数:236
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 13:01:58
描述:
预览信息:EXIF信息
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 13:02 | 显示全部 短消息 资料
字号: 8楼

8、应用程序访问控制规则设置完毕,点【确定】。这样就完成了监控所有进程创建c:\auto.exe这个动作

附件附件:

下载次数:243
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 13:02:09
描述:
预览信息:EXIF信息
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-10 13:03 | 显示全部 短消息 资料
字号: 9楼

9、然后把c:\auto.exe删除,删除后马上又生成了,怎么办?别慌,看看瑞星历史记录【主动防御记录】-【应用程序访问控制】-【文件访问控制】。看,我们找到元凶了,原来是C:\Documents and Settings\All Users\「开始」菜单\程序\启动\auto.exe重新生成了每个分区下的auto.exe,接下来该怎么做不用多说了吧~

附件附件:

下载次数:248
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-10 13:03:01
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT