Board logo

标题: 过微点的主页修改者~ [打印本页]
作者: tvuser2007     时间: 2009-5-26 20:05    标题: 过微点的主页修改者~

测试某样本时发现主页被改~微点检测不出~ie选项上主页是空白页~

但打开ie主页却被改了~微点注册表修复和保护都没反应~

运行病毒时主防也被miss~只有提示程序访问网络~

上图和样本~


请超版告知解决方法~

[ Last edited by tvuser2007 on 2009-5-26 at 20:06 ]
附件 1: 未命名.jpg (2009-5-26 20:05, 50.94 K,下载次数: 60)


作者: tvuser2007     时间: 2009-5-26 20:06
样本
http://g.zhubajie.com/urllink.php?id=5196633l2yfuw4d3jyoo3p9
作者: snhao     时间: 2009-5-26 20:18
跟我的发重了哦http://bbs.micropoint.com.cn/sho ... ge=1&highlight=
作者: wsmurderer     时间: 2009-5-26 21:03
2009-04-07 21:00:45    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [文件组]我的黑名单 -> [文件]*; *internet*

2009-04-07 21:00:45    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.lnk
规则: [文件组]我的黑名单 -> [文件]*; *internet*

2009-04-07 21:00:45    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\Documents and Settings\Administrator\桌面\Internet Exploer.lnk
规则: [文件组]我的黑名单 -> [文件]*; *internet*

2009-04-07 21:00:45    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: 0x00000001(1)
规则: [注册表组]IE浏览器设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\*

2009-04-07 21:00:45    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: 0x00000001(1)
规则: [注册表组]IE浏览器设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\*

2009-04-07 21:00:45    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\WINDOWS\krken.exe
规则: [文件组]windows阻止 -> [文件]c:\windows\*; *.exe

通过修改注册表删除ie图标,创建带有参数的快捷方式。解决办法:
将以上两项值改为0,再删除假冒的ie图标即可。现在这种流氓MS很流行:cool:

[ Last edited by wsmurderer on 2009-5-26 at 21:04 ]
作者: Legend     时间: 2009-5-26 21:17
感谢楼主反馈
具体我们分析测试下
作者: Legend     时间: 2009-5-27 12:01
经过测试分析,开启微点保护微点主页功能便可以很好的保护主页不被修改。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn