瑞星防御策略设置.docVIP

瑞星防御策略设置 /showtopic-8539546.aspx 观察好象有新的木马群利用普通的映像劫持对付安全软件，请去依照这贴操作，制定防御规则防护系统：点击进入下面的是以前的东西，顺便设置一下也不错：———————————————————————————————————这阵不断有关于安全软件被删除的求助贴javqhc病毒主要是中毒系统里有javqhc病毒。此病毒运行后会删除大量的官方安全软件。这毒目前还没变的太多，其一直靠下面注册表项启动HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad锁住这个注册表项以后，就可以预防那病毒注入系统目录，开机启动自身了。同时这毒还注入QQ目录、QQ游戏目录、以及“快车”目录。当启动QQ、QQ游戏、以及快车时，都将启动该病毒。其利用的都是以上QQ目录、QQ游戏目录、以及“快车”目录里病毒注入的wsock32.dll文件来启动病毒运行。锁定这个wsock32.dll文件，病毒也死了。（注意：千万不能去折腾系统目录里的wsock32.dll文件，如果你去折腾系统目录里的wsock32.dll文件，你自己就死定了）同时还发现，该病毒虽然删除大量安全软件，阻止安全软件的正常运行，但是一直没有完全禁止瑞星杀毒软件的主动防御监控部分。所以我们在中毒异常的电脑里还能启动瑞星主动防御的。就可以尝试利用瑞星主动防御来禁止病毒的启动：1、我们首先打开主动防御设置1.JPG (19.62 K) 2008-8-23 7:47:39 2、提示输入验证码时，我们正确输入3、然后我们选择主动防御设置的“系统加固”里的“自定义级别”4、我们在跳出的“系统加固用户设置”里选择“注册表监控”里的“系统配置”里的“本地机算机系统壳（shell）服务对象延期加载”，这项实际就是病毒要利用的启动项。锁定它，就可以预防病毒利用来开机自启动了。但是已中毒的系统里，就得设法控制已中的实际病毒文件才能解决问题。5、做好上面的设置，已经可以阻止注入系统目录里的那个病毒的开机启动了，现在我们再在“主动防御设置”里的“应用程序访问控制”里添加规则阻止其他目录里的病毒的启动。就可以解决已中毒的问题了。不在这一步操作阻止已经注入系统目录里的病毒，对于已中毒的系统，可能病毒还可以继续启动的。注意操作顺序，选择阻止任意程序访问病毒文件。6、设置好任意程序访问规则后，我们就可以准备添加病毒文件了。7、我们添加“病毒实际文件”来“拒绝”任意程序对其“访问”。我们在“监控目标”里直接粘贴我们得到的病毒文件全部路径信息。包括注入系统目录里的毒也可以一并添加。对于病毒的实际文件名和路径，自己不知道的，可以根据发日志后，网友为你指出的详细病毒文件信息复制、粘贴、进行添加操作。8、既然病毒利用QQ目录、QQ游戏目录、以及“快车”目录里病毒注入的wsock32.dll文件来启动病毒运行。那么我们也一并操作拒绝任意程序对这些目录里的wsock32.dll文件的访问。（千万不要折腾系统目录里的那个wsock32.dll噢）如上设置解决病毒自启动以后，，就可以重启电脑（规则制定后，必须重启电脑才有效），然后升级杀毒软件来全盘杀毒了。如果你的瑞星杀毒软件的主动防御监控已经不能正常开启的，可能操作无效。对于还没有中毒的瑞星用户，也可以用这个方法来预防该病毒。此病毒实际利用了人们这么多年的使用电脑的习惯、是利用了人们喜欢让QQ、QQ游戏、以及“快车”等软件开机自启动。所以成为病毒利用来启动自身的极好的方式了。? ? ? 例如：QQ安装后会在开始菜单里的“启动”文件夹里注入快捷方式，这在电脑开机后就会自动运行QQ软件。? ? ? 还有“快车”等软件自身就安装后默认是开机自启动的，也应该在“快车”软件的自身的设置中设置其开机不自启动。、是利用了人们喜欢将这些软件安装在非系统盘，而中毒后任何官方安全软件都不能正常使用后，中毒的用户一般选择重装系统，可他们都习惯重装系统后，又直接去运行非系统盘的QQ等各种软件了。? ? ? 一般这样的中毒电脑，在重装系统后，要先去删除QQ等软件的目录里的wsock32.dll文件，才能再使用QQ等软件。否则永远没的完的。至于该病毒对hosts文件的修改防护，可以去看这贴操作：近期发现病毒对hosts文件修改和在注册表中创建劫持项的行为比较猖獗，建议瑞星杀毒软件用户对瑞星主动防御做一些相应设置，拒绝病毒的此类行为，以便做到更为有效的保护自己的计算机。打开瑞星杀毒软件，点击设置中的防御设置：1.jpg (59.19 K) 2008-8