微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 已经开始查杀autorun.inf!  

作者:
标题: 已经开始查杀autorun.inf!
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#1  已经开始查杀autorun.inf!

autorun.inf 已经被记录到攻击规则库中 看图就能明白
我还未升级 版本不是支持英文版系统的新版微点 不知道最新版是否一样

[ Last edited by 反黑先锋 on 2007-5-2 at 20:04 ]

附件 1: sshot-140.png (2007-5-2 10:28, 22.51 K,下载次数: 75)


附件 2: sshot-141.png (2007-5-2 10:28, 22.01 K,下载次数: 39)


附件 3: sshot-142.png (2007-5-2 10:28, 13.79 K,下载次数: 24)


附件 4: sshot-143.png (2007-5-2 10:29, 16.35 K,下载次数: 52)


附件 5: sshot-144.png (2007-5-2 10:29, 18.83 K,下载次数: 53)


附件 6: sshot-145.png (2007-5-2 10:29, 14.66 K,下载次数: 26)


※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-5-2 10:28
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#2  

微点很早就能查类似的闪存病毒了~~
不过Norman的Sandbox已经那么先进了啊,吓了一跳。

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-2 13:11
查看资料  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#3  

http://bbs.micropoint.com.cn/showthread.asp?tid=8414&fpage=1&highlight=autorun.inf

autorun.inf以前的微点感觉是不处理的

Norman的Sandbox诱捕技术
人工智能虚拟机包括
(1)文件是否对硬盘读写,创建了什么文件。
(2)可疑文件是否进行网络连接,连接什么端口
(3)创建了那些系统进程。
(4)相关的可疑文件大小和md5
(5)文件是否加壳压缩
(6)是否是已知病毒

有些木马会识别sandbox甚至穿透它



http://www.norman.com/microsites/malwareanalyzer/en/Products/online_analyzer

[ Last edited by 反黑先锋 on 2007-5-2 at 16:15 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-5-2 14:22
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#4  

单独开发一个sandbox倒也不算太难,不过要把一个Sandbox外加自动分析的引擎融入杀毒软件中,尤其是个人版的杀软这就有点挑战了~~
毕竟你不能完全不管系统性能,也不能把用户体验丢到一边去~~

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-3 13:48
查看资料  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#5  

Norman的Sandbox03年的时候就有  创建电脑环境进行试运行操作 发现可疑就会提示用户 现在据说Norman的Sandbox有了突破性发展(Sandbox外加自动分析的引擎融入杀毒软件中?) 查杀未知病毒看来挺有效果  这软件没用过 不知道实际用起来各方面的体验会怎样

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-5-3 18:08
查看资料  发短消息   编辑帖子
jnwjlyd
新手上路





积分 43
发帖 43
注册 2007-3-2
#6  

貌似杀不干净……

※ ※ ※ 本文纯属【jnwjlyd】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-13 11:51
查看资料  发短消息   编辑帖子
hds_ss
银牌会员





积分 1105
发帖 1101
注册 2007-2-26
#7  

我的U盘总是不停的被发现有AUTORUN.INF毒,不知道是微点不能杀干净,还是我的U盘不断在其它地方染上毒.

※ ※ ※ 本文纯属【hds_ss】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-13 14:35
查看资料  发送邮件  发短消息   编辑帖子
晦明
注册用户





积分 94
发帖 94
注册 2006-6-8
#8  

微点能杀U盘病毒,但是还是不能完美解决双击打不开的问题,还需要找别的工具修复。期望改进。

※ ※ ※ 本文纯属【晦明】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-14 14:57
查看资料  发短消息   编辑帖子
金属记忆
新手上路




积分 12
发帖 12
注册 2007-2-28
来自 乌鲁木齐
#9  发个我平时用的工具

如题目,个人平时比较常用的工具,专门清除类似的U盘病毒.也能修复双击打不开的问题.大家不妨试试!

...郁闷.不让上传压缩包附件啊,那我把批处理的命令发给大家吧!


taskkill /f /IM RavMonE.exe
taskkill /f /IM rose.exe

del /F/A:s c:\system.sys
del /F/A:s c:\system32\rose.exe
del /F/A:s c:\Windows\system32\run.reg
del /F/A:s c:\Windows\system32\systemdate.ini
del /F/A:s C:\Windows\RavMonE.exe

del /F/A:s c:\autorun.inf
del /F/A:s c:\Rose.exe
del /F/A:s c:\systemfile.com
del /F/A:s c:\RavMonE.exe
del /F/A:s c:\msvcr71.dll

del /F/A:s d:\autorun.inf
del /F/A:s d:\Rose.exe
del /F/A:s d:\systemfile.com
del /F/A:s d:\RavMonE.exe
del /F/A:s d:\msvcr71.dll

del /F/A:s e:\autorun.inf
del /F/A:s e:\Rose.exe
del /F/A:s e:\systemfile.com
del /F/A:s e:\RavMonE.exe
del /F/A:s e:\msvcr71.dll

del /F/A:s f:\autorun.inf
del /F/A:s f:\Rose.exe
del /F/A:s f:\systemfile.com
del /F/A:s f:\RavMonE.exe
del /F/A:s f:\msvcr71.dll

del /F/A:s g:\autorun.inf
del /F/A:s g:\Rose.exe
del /F/A:s g:\systemfile.com
del /F/A:s g:\RavMonE.exe
del /F/A:s g:\msvcr71.dll

del /F/A:s h:\autorun.inf
del /F/A:s h:\Rose.exe
del /F/A:s h:\systemfile.com
del /F/A:s h:\RavMonE.exe
del /F/A:s h:\msvcr71.dll

del /F/A:s i:\autorun.inf
del /F/A:s i:\Rose.exe
del /F/A:s i:\systemfile.com
del /F/A:s i:\RavMonE.exe
del /F/A:s i:\msvcr71.dll

del /F/A:s j:\autorun.inf
del /F/A:s j:\Rose.exe
del /F/A:s j:\systemfile.com
del /F/A:s j:\RavMonE.exe
del /F/A:s j:\msvcr71.dll

del /F/A:s k:\autorun.inf
del /F/A:s k:\Rose.exe
del /F/A:s k:\systemfile.com
del /F/A:s k:\RavMonE.exe
del /F/A:s k:\msvcr71.dll

del /F/A:s l:\autorun.inf
del /F/A:s l:\Rose.exe
del /F/A:s l:\systemfile.com
del /F/A:s l:\RavMonE.exe
del /F/A:s l:\msvcr71.dll

del /F/A:s m:\autorun.inf
del /F/A:s m:\Rose.exe
del /F/A:s m:\systemfile.com
del /F/A:s m:\RavMonE.exe
del /F/A:s m:\msvcr71.dll

del /F/A:s n:\autorun.inf
del /F/A:s n:\Rose.exe
del /F/A:s n:\systemfile.com
del /F/A:s n:\RavMonE.exe
del /F/A:s n:\msvcr71.dll

del /F/A:s o:\autorun.inf
del /F/A:s o:\Rose.exe
del /F/A:s o:\systemfile.com
del /F/A:s o:\RavMonE.exe
del /F/A:s o:\msvcr71.dll

del /F/A:s p:\autorun.inf
del /F/A:s p:\Rose.exe
del /F/A:s p:\systemfile.com
del /F/A:s p:\RavMonE.exe
del /F/A:s p:\msvcr71.dll

del /F/A:s q:\autorun.inf
del /F/A:s q:\Rose.exe
del /F/A:s q:\systemfile.com
del /F/A:s q:\RavMonE.exe
del /F/A:s q:\msvcr71.dll

del /F/A:s r:\autorun.inf
del /F/A:s r:\Rose.exe
del /F/A:s r:\systemfile.com
del /F/A:s r:\RavMonE.exe
del /F/A:s r:\msvcr71.dll

del /F/A:s s:\autorun.inf
del /F/A:s s:\Rose.exe
del /F/A:s s:\systemfile.com
del /F/A:s s:\RavMonE.exe
del /F/A:s s:\msvcr71.dll

del /F/A:s t:\autorun.inf
del /F/A:s t:\Rose.exe
del /F/A:s t:\systemfile.com
del /F/A:s t:\RavMonE.exe
del /F/A:s t:\msvcr71.dll

del /F/A:s u:\autorun.inf
del /F/A:s u:\Rose.exe
del /F/A:s u:\systemfile.com
del /F/A:s u:\RavMonE.exe
del /F/A:s u:\msvcr71.dll

del /F/A:s v:\autorun.inf
del /F/A:s v:\Rose.exe
del /F/A:s v:\systemfile.com
del /F/A:s v:\RavMonE.exe
del /F/A:s v:\msvcr71.dll

del /F/A:s w:\autorun.inf
del /F/A:s w:\Rose.exe
del /F/A:s w:\systemfile.com
del /F/A:s w:\RavMonE.exe
del /F/A:s w:\msvcr71.dll

del /F/A:s x:\autorun.inf
del /F/A:s x:\Rose.exe
del /F/A:s x:\systemfile.com
del /F/A:s x:\RavMonE.exe
del /F/A:s x:\msvcr71.dll

del /F/A:s y:\autorun.inf
del /F/A:s y:\Rose.exe
del /F/A:s y:\systemfile.com
del /F/A:s y:\RavMonE.exe
del /F/A:s y:\msvcr71.dll

del /F/A:s z:\autorun.inf
del /F/A:s z:\Rose.exe
del /F/A:s z:\systemfile.com
del /F/A:s z:\RavMonE.exe
del /F/A:s z:\msvcr71.dll

regedit antivirus.reg



大家只要建个.bat的批处理文件,把这写命令复制进去就OK了,另外建个名字为antivirus.reg 的注册表文件,把下面的命令复制进去
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RavAV"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dll"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:91
就OK了!
(打开记事本,把命令复制进去,然后点另存为,保存类型选择所有文件,然后把名字填上)
最好是把批处理文件和.reg文件放在一起,杀哪个盘的时候就放在哪个盘的根目录下.重复几次,这样安全(大多数人的心理习惯).

※ ※ ※ 本文纯属【金属记忆】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-15 11:43
查看资料  发送邮件  发短消息  QQ   编辑帖子
han
中级用户




积分 422
发帖 420
注册 2007-6-15
#10  

现在有些专杀见AUTORUN.INF就报毒,空文件它报,把文件夹改成这名字它报,U3智能优盘甚至光盘它也报,实在悲哀。(可能与主题无关)

※ ※ ※ 本文纯属【han】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-15 14:12
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号