微点交流论坛 - 微点软件使用交流 - 我的微点被病毒给干掉了

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 我的微点被病毒给干掉了

2/2

坐照
银牌会员

正式版用户

积分 1426
发帖 1422
注册 2009-3-24
来自湖北宜都

#11

枪手吧？

※ ※ ※ 本文纯属【坐照】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-7 19:10

f8312519
银牌会员

积分 2184
发帖 2169
注册 2008-10-27
来自维创论坛

#12

楼主怎么不回复了
这个得尽快上报样本了!

※ ※ ※ 本文纯属【f8312519】个人意见，与【微点交流论坛】立场无关※ ※ ※

维创论坛免费软件园地欢迎您!http://herofw.haotui.com

2009-12-7 19:17

eddysu
银牌会员

积分 1573
发帖 1579
注册 2008-8-31

#13

如果有样本就好了。。试一下。

※ ※ ※ 本文纯属【eddysu】个人意见，与【微点交流论坛】立场无关※ ※ ※

我用微点！

2009-12-7 19:54

wxkdl
新手上路

积分 16
发帖 16
注册 2009-3-23

#14

想见识一下样本

※ ※ ※ 本文纯属【wxkdl】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-8 14:55

tcjgdw@163.com
中级用户

积分 223
发帖 216
注册 2007-12-26

#15

2009-12-08 14:37:47 运行应用程序    操作:允许
进程路径:C:\WINDOWS\EXPLORER.EXE
文件路径:E:\11\11.exe
触发规则:应用程序规则->系统进程保护规则->%windir%\explorer.exe->*.*

2009-12-08 14:37:55 创建文件    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\91468.dll
触发规则:所有程序规则->文件类型记录规则->*.dll

2009-12-08 14:37:56 运行应用程序    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\System32\RUNDLL32.EXE
命令行:C:\DOCUME~1\xu\LOCALS~1\Temp\91468.dll testall
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:37:57 创建文件    操作:允许
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
文件路径:C:\pci.sys
触发规则:所有程序规则->文件类型记录规则->*.sys

2009-12-08 14:37:57 安装服务或者驱动    操作:阻止
进程路径:C:\WINDOWS\System32\SERVICES.EXE
文件路径:C:\pci.sys
触发规则:所有程序规则->程序进程记录规则->*.sys

2009-12-08 14:38:05 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
文件路径:C:\WINDOWS\System32\sc.exe
命令行:config avp start= disabled
触发规则:所有程序规则->木马程序防御规则四->%windir%\system32\sc.exe

2009-12-08 14:38:05 运行应用程序    操作:允许
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
文件路径:C:\WINDOWS\System32\taskkill.exe
命令行:/f /t /im avp.exe
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:38:05 运行应用程序    操作:允许
进程路径:C:\WINDOWS\System32\taskkill.exe
文件路径:C:\WINDOWS\System32\conime.exe
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:38:05 运行应用程序    操作:允许
进程路径:C:\WINDOWS\System32\SVCHOST.EXE
文件路径:C:\WINDOWS\System32\WBEM\wmiprvse.exe
命令行:-Embedding
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:38:12 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:13 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:14 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC2.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:14 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC2.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:15 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC1.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:16 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC1.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:16 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:17 创建文件    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\system32\113203.exe
触发规则:所有程序规则->文件类型记录规则->*.exe

2009-12-08 14:38:17 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:17 运行应用程序    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\System32\113203.exe
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:38:19 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c cacls C:\WINDOWS\system32 /e /p everyone:f
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:21 创建文件    操作:阻止
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys
触发规则:所有程序规则->系统核心驱动保护规则->%windir%\system32\drivers\pcidump.sys

2009-12-08 14:38:21 安装服务或者驱动    操作:允许
进程路径:C:\WINDOWS\System32\SERVICES.EXE
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys
触发规则:高优先规则->允许例外规则->%windir%\system32\drivers\*.sys

2009-12-08 14:38:22 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c cacls "C:\DOCUME~1\xu\LOCALS~1\Temp\" /e /p everyone:f
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:32 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\SERVICES.EXE
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
注册表名称:ImagePath
触发规则:应用程序规则->系统进程保护规则->%windir%\System32\SERVICES.EXE->*\SYSTEM\ControlSet001\Services\*

2009-12-08 14:38:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c net stop wscsvc
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:35 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c net stop SharedAccess
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:36 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c sc config sharedaccess start= disabled
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:39 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:360Soft
触发规则:应用程序规则->木马程序防御规则->%windir%\*.*->*\Software\Microsoft\Windows\CurrentVersion\Run*

2009-12-08 14:38:39 创建文件    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\system32\scvhost.exe
触发规则:所有程序规则->文件类型记录规则->*.exe

2009-12-08 14:38:39 创建文件    操作:允许
进程路径:E:\11\11.exe
文件路径:E:\11\kl78a.bat
触发规则:所有程序规则->文件类型记录规则->*.bat

2009-12-08 14:38:45 运行应用程序    操作:阻止
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c kl78a.bat
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe
是不是和这只一样的动作?
微点无法拦截

[ Last edited by tcjgdw@163.com on 2009-12-8 at 20:27 ]

※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-8 20:26

ll1234
新手上路

积分 2
发帖 2
注册 2009-12-6

#16

Quote:

Originally posted by Legend at 2009-12-6 15:10:
感谢楼主的反馈，请将微点安装目录连同微点驱动文件（开始--运行---drivers----MP110000.SYS~MP110013.SYS）打包压缩一并发送到support@micropoint.com.cn 发送时请附带本帖链接，我们将尽快分析后 ...

这个实在没办法提供了因为我当时为了重装位点已经把原来的删除了。这个病毒叫磁碟机！可以去网上下样本！
病毒一旦启动运行后会对微点的进程发送大量垃圾消息、对包含微点的窗口进行关闭操作、对微点注册的win32服务进行删除操作导致微点无法启动。

[ Last edited by ll1234 on 2009-12-9 at 17:48 ]

※ ※ ※ 本文纯属【ll1234】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-9 17:43

2/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号