P版的 AU3防止文件删除及其逆向代码 还是有能穿透的。

dd20121221

最近中了userinit.exe病毒。
中病毒的现象是 ： 不知道什么时候userinit.exe被修改的，被修改了的userinit.exe文件属性里面没有版本信息，其他属性和原本的一摸一样，修改以后穿透网吧还原系统保存下来了。
第二次开机以后userinit.exe就联网下载很多木马。
总之根源就是userinit.exe，想用某种办法保护这个文件不被修改，这几天用P版的文件保护进行测试，还是中毒了，可是有点不一样。userinit.exe文件版本属性也在，和原来的一摸一样，不像是被替换过，但是MD5效验确实又是不同的。
不知道这个USERINIT.EXE是怎样变了的，看看P版还有没有什么更强的办法

dd20121221

求关注！！

魔导

大哥,P版不是专门杀毒的.........
他写的是个例子   更新要靠自己嘛    不更新能永久使用的东西有什么呢？

user3000

对付这样的病毒, 应该要找出毒源, 多数是特定网址.
单机用IP策略或直接在路由上把相关网址屏掉吧!

f4李文杨

你现在还会中这个病毒？？
其实都差不多过去了事了！

dd20121221

回复 4# user3000


    网址是会变的，根源其实是userinit.exe被穿透。所以能防止文件被替换才是最终解决方法

dd20121221

回复 5# f4李文杨


    其实防御的办法也早就有了，就如楼上所说的屏蔽网址，还有一些其他的特定方法，不过看了P版的防止文件被修改的代码以后，想测试一下效果怎么样。

user3000

AU3编写的程序的运行依赖于Windows系统, 它注定比病毒程序加载得晚(多数病毒程序在Windows刚启动时也随之运行了, 甚至有的比Windows还早一些运行, 比如引导区病毒: 鬼影等)
所以你觉得你现在做法有多大意义呢?

dd20121221

回复 8# user3000


    我这样的做法是防止中，而不是中了杀！
   比如我明天会中userinit.exe病毒，但是我今天在启机的时候运行了userinit.exe保护程序，如果这个程序足够强健，我明天的userinit.exe还会被修改吗？你说这样做有没有意义？

kodin

用无盘应该比较少这类问题吧。

dd20121221

回复 10# kodin


    无盘根本就没有这个问题，说的是有盘的。