微点交流论坛

标题: 已经开始查杀autorun.inf！ [打印本页]

作者: 反黑先锋 时间: 2007-5-2 10:28 标题: 已经开始查杀autorun.inf！

;)autorun.inf 已经被记录到攻击规则库中看图就能明白
我还未升级版本不是支持英文版系统的新版微点不知道最新版是否一样

[ Last edited by 反黑先锋 on 2007-5-2 at 20:04 ]

附件 1: sshot-140.png (2007-5-2 10:28, 22.51 K,下载次数： 75)

附件 2: sshot-141.png (2007-5-2 10:28, 22.01 K,下载次数： 39)

附件 3: sshot-142.png (2007-5-2 10:28, 13.79 K,下载次数： 24)

附件 4: sshot-143.png (2007-5-2 10:29, 16.35 K,下载次数： 52)

附件 5: sshot-144.png (2007-5-2 10:29, 18.83 K,下载次数： 53)

附件 6: sshot-145.png (2007-5-2 10:29, 14.66 K,下载次数： 26)

作者: flo 时间: 2007-5-2 13:11
微点很早就能查类似的闪存病毒了~~
不过Norman的Sandbox已经那么先进了啊，吓了一跳。

作者: 反黑先锋 时间: 2007-5-2 14:22
http://bbs.micropoint.com.cn/showthread.asp?tid=8414&fpage=1&highlight=autorun.inf

autorun.inf以前的微点感觉是不处理的

Norman的Sandbox诱捕技术
人工智能虚拟机包括
（1）文件是否对硬盘读写，创建了什么文件。
（2）可疑文件是否进行网络连接，连接什么端口
（3）创建了那些系统进程。
（4）相关的可疑文件大小和md5
（5）文件是否加壳压缩
（6）是否是已知病毒

:D有些木马会识别sandbox甚至穿透它

http://www.norman.com/microsites/malwareanalyzer/en/Products/online_analyzer

[ Last edited by 反黑先锋 on 2007-5-2 at 16:15 ]

作者: flo 时间: 2007-5-3 13:48
单独开发一个sandbox倒也不算太难，不过要把一个Sandbox外加自动分析的引擎融入杀毒软件中，尤其是个人版的杀软这就有点挑战了~~
毕竟你不能完全不管系统性能，也不能把用户体验丢到一边去~~

作者: 反黑先锋 时间: 2007-5-3 18:08
Norman的Sandbox03年的时候就有创建电脑环境进行试运行操作发现可疑就会提示用户现在据说Norman的Sandbox有了突破性发展(Sandbox外加自动分析的引擎融入杀毒软件中?) 查杀未知病毒看来挺有效果这软件没用过不知道实际用起来各方面的体验会怎样

作者: jnwjlyd 时间: 2007-6-13 11:51
貌似杀不干净……

作者: hds_ss 时间: 2007-6-13 14:35
我的U盘总是不停的被发现有AUTORUN.INF毒,不知道是微点不能杀干净,还是我的U盘不断在其它地方染上毒.

作者: 晦明 时间: 2007-6-14 14:57
微点能杀U盘病毒，但是还是不能完美解决双击打不开的问题，还需要找别的工具修复。期望改进。

作者: 金属记忆 时间: 2007-6-15 11:43 标题: 发个我平时用的工具

如题目,个人平时比较常用的工具,专门清除类似的U盘病毒.也能修复双击打不开的问题.大家不妨试试!

...郁闷.不让上传压缩包附件啊,那我把批处理的命令发给大家吧!

taskkill /f /IM RavMonE.exe
taskkill /f /IM rose.exe

del /F/A:s c:\system.sys
del /F/A:s c:\system32\rose.exe
del /F/A:s c:\Windows\system32\run.reg
del /F/A:s c:\Windows\system32\systemdate.ini
del /F/A:s C:\Windows\RavMonE.exe

del /F/A:s c:\autorun.inf
del /F/A:s c:\Rose.exe
del /F/A:s c:\systemfile.com
del /F/A:s c:\RavMonE.exe
del /F/A:s c:\msvcr71.dll

del /F/A:s d:\autorun.inf
del /F/A:s d:\Rose.exe
del /F/A:s d:\systemfile.com
del /F/A:s d:\RavMonE.exe
del /F/A:s d:\msvcr71.dll

del /F/A:s e:\autorun.inf
del /F/A:s e:\Rose.exe
del /F/A:s e:\systemfile.com
del /F/A:s e:\RavMonE.exe
del /F/A:s e:\msvcr71.dll

del /F/A:s f:\autorun.inf
del /F/A:s f:\Rose.exe
del /F/A:s f:\systemfile.com
del /F/A:s f:\RavMonE.exe
del /F/A:s f:\msvcr71.dll

del /F/A:s g:\autorun.inf
del /F/A:s g:\Rose.exe
del /F/A:s g:\systemfile.com
del /F/A:s g:\RavMonE.exe
del /F/A:s g:\msvcr71.dll

del /F/A:s h:\autorun.inf
del /F/A:s h:\Rose.exe
del /F/A:s h:\systemfile.com
del /F/A:s h:\RavMonE.exe
del /F/A:s h:\msvcr71.dll

del /F/A:s i:\autorun.inf
del /F/A:s i:\Rose.exe
del /F/A:s i:\systemfile.com
del /F/A:s i:\RavMonE.exe
del /F/A:s i:\msvcr71.dll

del /F/A:s j:\autorun.inf
del /F/A:s j:\Rose.exe
del /F/A:s j:\systemfile.com
del /F/A:s j:\RavMonE.exe
del /F/A:s j:\msvcr71.dll

del /F/A:s k:\autorun.inf
del /F/A:s k:\Rose.exe
del /F/A:s k:\systemfile.com
del /F/A:s k:\RavMonE.exe
del /F/A:s k:\msvcr71.dll

del /F/A:s l:\autorun.inf
del /F/A:s l:\Rose.exe
del /F/A:s l:\systemfile.com
del /F/A:s l:\RavMonE.exe
del /F/A:s l:\msvcr71.dll

del /F/A:s m:\autorun.inf
del /F/A:s m:\Rose.exe
del /F/A:s m:\systemfile.com
del /F/A:s m:\RavMonE.exe
del /F/A:s m:\msvcr71.dll

del /F/A:s n:\autorun.inf
del /F/A:s n:\Rose.exe
del /F/A:s n:\systemfile.com
del /F/A:s n:\RavMonE.exe
del /F/A:s n:\msvcr71.dll

del /F/A:s o:\autorun.inf
del /F/A:s o:\Rose.exe
del /F/A:s o:\systemfile.com
del /F/A:s o:\RavMonE.exe
del /F/A:s o:\msvcr71.dll

del /F/A:s p:\autorun.inf
del /F/A:s p:\Rose.exe
del /F/A:s p:\systemfile.com
del /F/A:s p:\RavMonE.exe
del /F/A:s p:\msvcr71.dll

del /F/A:s q:\autorun.inf
del /F/A:s q:\Rose.exe
del /F/A:s q:\systemfile.com
del /F/A:s q:\RavMonE.exe
del /F/A:s q:\msvcr71.dll

del /F/A:s r:\autorun.inf
del /F/A:s r:\Rose.exe
del /F/A:s r:\systemfile.com
del /F/A:s r:\RavMonE.exe
del /F/A:s r:\msvcr71.dll

del /F/A:s s:\autorun.inf
del /F/A:s s:\Rose.exe
del /F/A:s s:\systemfile.com
del /F/A:s s:\RavMonE.exe
del /F/A:s s:\msvcr71.dll

del /F/A:s t:\autorun.inf
del /F/A:s t:\Rose.exe
del /F/A:s t:\systemfile.com
del /F/A:s t:\RavMonE.exe
del /F/A:s t:\msvcr71.dll

del /F/A:s u:\autorun.inf
del /F/A:s u:\Rose.exe
del /F/A:s u:\systemfile.com
del /F/A:s u:\RavMonE.exe
del /F/A:s u:\msvcr71.dll

del /F/A:s v:\autorun.inf
del /F/A:s v:\Rose.exe
del /F/A:s v:\systemfile.com
del /F/A:s v:\RavMonE.exe
del /F/A:s v:\msvcr71.dll

del /F/A:s w:\autorun.inf
del /F/A:s w:\Rose.exe
del /F/A:s w:\systemfile.com
del /F/A:s w:\RavMonE.exe
del /F/A:s w:\msvcr71.dll

del /F/A:s x:\autorun.inf
del /F/A:s x:\Rose.exe
del /F/A:s x:\systemfile.com
del /F/A:s x:\RavMonE.exe
del /F/A:s x:\msvcr71.dll

del /F/A:s y:\autorun.inf
del /F/A:s y:\Rose.exe
del /F/A:s y:\systemfile.com
del /F/A:s y:\RavMonE.exe
del /F/A:s y:\msvcr71.dll

del /F/A:s z:\autorun.inf
del /F/A:s z:\Rose.exe
del /F/A:s z:\systemfile.com
del /F/A:s z:\RavMonE.exe
del /F/A:s z:\msvcr71.dll

regedit antivirus.reg

大家只要建个.bat的批处理文件,把这写命令复制进去就OK了,另外建个名字为antivirus.reg 的注册表文件,把下面的命令复制进去
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RavAV"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dll"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:91
就OK了!
(打开记事本,把命令复制进去,然后点另存为,保存类型选择所有文件,然后把名字填上)
最好是把批处理文件和.reg文件放在一起,杀哪个盘的时候就放在哪个盘的根目录下.重复几次,这样安全(大多数人的心理习惯).

作者: han 时间: 2007-6-15 14:12
现在有些专杀见AUTORUN.INF就报毒，空文件它报，把文件夹改成这名字它报，U3智能优盘甚至光盘它也报，实在悲哀。（可能与主题无关）

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn