微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 过微点的主页修改者~  

作者:
标题: 过微点的主页修改者~
tvuser2007
注册用户




积分 67
发帖 67
注册 2007-1-20
#1  过微点的主页修改者~

测试某样本时发现主页被改~微点检测不出~ie选项上主页是空白页~

但打开ie主页却被改了~微点注册表修复和保护都没反应~

运行病毒时主防也被miss~只有提示程序访问网络~

上图和样本~


请超版告知解决方法~

[ Last edited by tvuser2007 on 2009-5-26 at 20:06 ]

附件 1: 未命名.jpg (2009-5-26 20:05, 50.94 K,下载次数: 60)


※ ※ ※ 本文纯属【tvuser2007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-5-26 20:05
查看资料  发送邮件  发短消息  QQ   编辑帖子
tvuser2007
注册用户




积分 67
发帖 67
注册 2007-1-20
#2  

样本
http://g.zhubajie.com/urllink.php?id=5196633l2yfuw4d3jyoo3p9

※ ※ ※ 本文纯属【tvuser2007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-5-26 20:06
查看资料  发送邮件  发短消息  QQ   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#3  

跟我的发重了哦http://bbs.micropoint.com.cn/sho ... ge=1&highlight=

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点论坛
2009-5-26 20:18
查看资料  发短消息   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#4  

2009-04-07 21:00:45    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [文件组]我的黑名单 -> [文件]*; *internet*

2009-04-07 21:00:45    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.lnk
规则: [文件组]我的黑名单 -> [文件]*; *internet*

2009-04-07 21:00:45    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\Documents and Settings\Administrator\桌面\Internet Exploer.lnk
规则: [文件组]我的黑名单 -> [文件]*; *internet*

2009-04-07 21:00:45    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: 0x00000001(1)
规则: [注册表组]IE浏览器设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\*

2009-04-07 21:00:45    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: 0x00000001(1)
规则: [注册表组]IE浏览器设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\*

2009-04-07 21:00:45    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\WINDOWS\krken.exe
规则: [文件组]windows阻止 -> [文件]c:\windows\*; *.exe

通过修改注册表删除ie图标,创建带有参数的快捷方式。解决办法:
将以上两项值改为0,再删除假冒的ie图标即可。现在这种流氓MS很流行

[ Last edited by wsmurderer on 2009-5-26 at 21:04 ]

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-5-26 21:03
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#5  

感谢楼主反馈
具体我们分析测试下

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-5-26 21:17
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

经过测试分析,开启微点保护微点主页功能便可以很好的保护主页不被修改。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-5-27 12:01
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号