火绒安全软件

标题: 火绒被熊孩子打败了!!! [打印本页]
作者: 557    时间: 2016-12-13 21:39
标题: 火绒被熊孩子打败了!!!
本帖最后由 557 于 2016-12-13 21:50 编辑

先声明:不是鄙视火绒哟,只是希望火绒越来越好

家里来了熊孩子,我想了想,给他玩网页版4399就好了,不能让他安装程序。
最先想到家长控制,看了一轮发现没什么比较合适的。

然后打开系统防御里面的软件安装拦截 勾选除列表外都默认拦截选项,然后设置了系统防御添加了一些规则。

下楼拿个快递的时间,熊孩子已经打开了xx安卓模拟器 玩着球球大作战了。WTF

回来看了看,就我的Chrome浏览器多了书签,什么购物 游戏 毒霸啥的。

我怒而制止熊孩子继续玩,然后卸载安卓模拟器,注册表,文件夹都检查了一遍。感觉幸好自己机智。

想了想都卸载了,除列表外都默认拦截选项关了,然后进行全盘扫描
这里我要说:火绒全盘扫描速度真的慢



有事离开了几分钟,全盘扫描可能扫到了90%。大家可能猜到了。
特么熊孩子又玩起了球球大作战。
桌面上面还多了蓝月传奇
继而发现我chrome firefox 这些快捷方式都带参数运行了指向各个导航站,多了几个书签,我准备修改快捷方式删除参数,特么居然不被允许!!!
再一次WTF!!!
我已经不想思考了,想了想也许又是什么注册表 WIM劫持....
有没有熊孩子专杀工具呀,我内心真实想法
我重装一次系统就是什么CAD PS VS2015 OFFICE
直到发这个帖子,我软件都装好了

发表下看法
没细看日志,但是我没看到火绒有拦截的记录,信任区拦截区都无相关记录。
今天我准备发帖,提供个样本给坛友,在下载的时候亲爱的Windows Defender,直接删除,下载都不让下,然后又马上自动来了一次快速扫描,我觉得真贴心。


发生下列错误: 错误代码 0x80508023。 该程序在此计算机上找不到间谍软件和其他潜在的垃圾软件。


类别: 浏览器修改程序


描述: 这个程序在未经完全同意的情况下更改 Web 浏览器设置。


推荐的操作: 立即删除这个软件。


项目:
file:C:\Users\xxxx\AppData\Roaming\IDM\DwnlData\xxxx\-E7-90-83-E7-90-83-E5-A4-A7-E4_21\-E7-90-83-E7-90-83-E5-A4-A7-E4.exe

火绒需要改进的地方:
以上只是一个小白的个人见解,有问题轻喷

最后我想说的是:火绒加油!!!

Ps:给你们试试这个坑爹的程序:[url=http://url.7878j.com/down/%E7%90%83%E7%90%83%E5%A4%A7%E4%BD%9C%E6%88%98-%E7%94%B5%E8%84%91%E7%89%88@295_9846.exe]下载地址[/url]


作者: Rosa真紅    时间: 2016-12-13 22:34
本帖最后由 Rosa真紅 于 2016-12-13 22:35 编辑

给火绒加上密码
熊孩子动作真快
系统允许的话applocker打开

作者: vm001    时间: 2016-12-13 23:35
测试样本这是我这里没拦截的
https://share.weiyun.com/60afde012e8f76dcfc8ea98e39dbc01f
作者: 557    时间: 2016-12-13 23:40
Rosa真紅 发表于 2016-12-13 22:34
给火绒加上密码
熊孩子动作真快
系统允许的话applocker打开

那小孩太喜欢玩了拦不住,一不留神就这样了。下载到双击安装完成,火绒不拦截这有点尴尬。
碰到过两次这样的情况了,上次是遇到WMI劫持主页,等下弄个虚拟机我要去蹂躏火绒试试
作者: pewu5    时间: 2016-12-14 00:28
影子系统更好。
作者: CANDY77    时间: 2016-12-14 10:43
感谢您的反馈 正在跟进中~
作者: msnh    时间: 2016-12-14 12:05
您好,这边测试未出现此情况,方不方便将默认放过拦截的列表的截图发给我们。
作者: 657870790    时间: 2016-12-14 18:51
我一般用虚拟机,单核跑,熊孩子跑不动···
以前金山,驱动精灵,等安装,火绒拦截似乎有压力。
作者: 557    时间: 2016-12-14 22:00
msnh 发表于 2016-12-14 12:05
您好,这边测试未出现此情况,方不方便将默认放过拦截的列表的截图发给我们。 ...

你好,拦截列表没内容,就是直接勾选了左下角的选项
作者: 557    时间: 2016-12-14 22:03
vm001 发表于 2016-12-13 23:35
测试样本这是我这里没拦截的
https://share.weiyun.com/60afde012e8f76dcfc8ea98e39dbc01f

有挺多都拦截不了
作者: 557    时间: 2016-12-14 22:10
657870790 发表于 2016-12-14 18:51
我一般用虚拟机,单核跑,熊孩子跑不动···
以前金山,驱动精灵,等安装,火绒拦截似乎有压力。 ...

我有时懒得打开虚拟机,sandboxie最近没钱入手正版
作者: 紫夜羽辰    时间: 2016-12-15 10:36
搞个影子之类的吧
作者: 657870790    时间: 2016-12-15 10:49
557 发表于 2016-12-14 22:10
我有时懒得打开虚拟机,sandboxie最近没钱入手正版

沙箱吗?
破解版也可以吧。。
作者: 557    时间: 2016-12-16 00:03
【1】2016-12-15 23:50:07,系统防御,软件安装拦截,球球大作战-电脑版@295_9846.exe尝试安装软件, 已阻止

操作者:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
安装软件:爱奇艺PPS影音
软件路径:C:\Users\ZDS\AppData\Local\Temp\gsxz~\IQIYIsetup_qudao@kb096.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-12-15 23:50:06,系统防御,软件安装拦截,球球大作战-电脑版@295_9846.exe尝试安装软件, 已阻止

操作者:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
安装软件:蓝月传奇
软件路径:C:\Users\ZDS\AppData\Local\Temp\gsxz~\zx_25201.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-12-15 23:50:05,系统防御,软件安装拦截,球球大作战-电脑版@295_9846.exe尝试安装软件, 已阻止

操作者:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
安装软件:返钱宝宝
软件路径:C:\Users\ZDS\AppData\Local\Temp\gsxz~\tgqd2.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-12-15 23:49:47,系统防御,软件安装拦截,球球大作战-电脑版@295_9846.exe尝试安装软件, 已阻止

操作者:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
安装软件:百度桌面
软件路径:C:\Users\ZDS\AppData\Local\Temp\gsxz~\baiduzhuomian3939.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-12-15 23:49:45,系统防御,软件安装拦截,球球大作战-电脑版@295_9846.exe尝试安装软件, 已阻止

操作者:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
安装软件:QQ浏览器
软件路径:C:\Users\ZDS\AppData\Local\Temp\gsxz~\QBDownload_10023974.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2016-12-15 23:49:26,系统防御,注册表保护,球球大作战-电脑版@295_9846.exe触犯注册表防护规则, 已阻止

操作者:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
命令行:"C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe"
风险动作:修改IE首页项
目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
操作类型:写入
数据内容:http://123.haowan360.net
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2016-12-15 23:49:24,系统防御,注册表保护,球球大作战-电脑版@295_9846.exe触犯注册表防护规则, 已阻止

操作者:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
命令行:"C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe"
风险动作:修改IE首页项
目标注册表:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
操作类型:写入
数据内容:http://123.haowan360.net
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2016-12-15 23:48:24,系统防御,软件安装拦截,球球大作战-电脑版@295_9846.exe在其他软件中被捆绑安装, 已允许

软件名称:360安全卫士
被捆绑程序:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
用户操作:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2016-12-15 23:48:12,系统防御,软件安装拦截,球球大作战-电脑版@295_9846.exe在其他软件中被捆绑安装, 已允许

软件名称:360推广
被捆绑程序:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
用户操作:已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2016-12-15 23:39:08,系统防御,软件安装拦截,球球大作战-电脑版@295_9846.exe在其他软件中被捆绑安装, 已阻止

软件名称:360推广
被捆绑程序:C:\Users\ZDS\Desktop\球球大作战-电脑版@295_9846.exe
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
今天用虚拟机进行测试
捕获.PNG 捕获2.PNG
细数一下。以上出现了蓝月传奇,百度输入法,IE与360极速浏览器都出现了后缀参数。在进行修改快捷方式的时候,是直接失败的。
火绒以上弹出,我只允许了两次。
后面进行全盘扫描,等下上传结果
@msnh

作者: 557    时间: 2016-12-16 00:25
值得一提的是。我浏览器主页什么的确实被修改了,但是火绒浏览器保护并没生效。

猜测可能是因为浏览器是通过参数打开主页,所以没生效。

以下是全盘扫描的战绩 捕获3.PNG
修复之后,快捷方式得到修复,那个后缀参数消失。但是快捷方式依旧拒绝修改
作者: a60041    时间: 2016-12-16 16:39
最好的解决方式就是在自定义规则 设置规则为:

*\*.EXE 禁止创建

就能彻底解决问题。
作者: pewu5    时间: 2016-12-16 17:50
a60041 发表于 2016-12-16 16:39
最好的解决方式就是在自定义规则 设置规则为:

*\*.EXE 禁止创建

安装程序不都是exe的。
作者: a60041    时间: 2016-12-16 19:53
pewu5 发表于 2016-12-16 17:50
安装程序不都是exe的。

不是安装问题,禁止EXE创建,他连下载都是失败的。直接从下载就自动阻止,下载程序都下载不下来。
作者: pewu5    时间: 2016-12-16 20:32
a60041 发表于 2016-12-16 19:53
不是安装问题,禁止EXE创建,他连下载都是失败的。直接从下载就自动阻止,下载程序都下载不下来。 ...

不是exe的安装程序怎么会下载失败?
作者: 557    时间: 2016-12-16 21:13
a60041 发表于 2016-12-16 16:39
最好的解决方式就是在自定义规则 设置规则为:

*\*.EXE 禁止创建

其实问题是火绒防御能力有待加强
作者: a60041    时间: 2016-12-17 02:47
pewu5 发表于 2016-12-16 20:32
不是exe的安装程序怎么会下载失败?

楼主的球球大作战,不都是EXE的吗?
作者: pewu5    时间: 2016-12-17 11:59
a60041 发表于 2016-12-17 02:47
楼主的球球大作战,不都是EXE的吗?

如果只是针对楼主的球球作战,那方法多了去了。
作者: 557    时间: 2016-12-17 16:17
a60041 发表于 2016-12-17 02:47
楼主的球球大作战,不都是EXE的吗?

我这只是特例啦
作者: 静静    时间: 2017-1-8 15:39
直接加密码,家长控制,限制游戏网站,然后目录保护,防止火绒被退出,再狠一点,加个目录保护,直接防止新程序被安装,就OK了
作者: yne    时间: 2017-1-10 15:16
简单说一下我今天遇到的,任务栏的火狐和IE被加了后缀,用火绒可以查到但修复不了。手工的时候发现属性是只读的,然后OK了。火绒的这个修复功能会不会有点弱啊?
作者: 557    时间: 2017-1-10 21:52
yne 发表于 2017-1-10 15:16
简单说一下我今天遇到的,任务栏的火狐和IE被加了后缀,用火绒可以查到但修复不了。手工的时候发现属性是只 ...

火绒对我来说就是HIPS工具,其它的没啥感觉 哈哈哈



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4