微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 微点没有杀掉的一个病毒  

作者:
标题: 微点没有杀掉的一个病毒
blueiceqzh
新手上路





积分 35
发帖 35
注册 2007-1-29
#1  微点没有杀掉的一个病毒

现    象: 用亲戚的电脑上网,偶然发现机器的norton8出了问题,扫描引擎都启动不了,不过倒是一启动文件自动防护就报警说发现病毒,成功隔离,但删除了下次启动还有。基本肯定中毒了。从norton的提示网页看好像是盗游戏帐号的。
解决之路:先删除norton8,下了各norton10装上,升级,杀掉一部分,可是还是一开机就有。特别是什么 1.exe, 2.exe, 4.exe, 6.exe。接着下载一个微点,升级,启动后又干掉一堆木马,病毒。norton10没查出来的。具体忘了。但是,仍然每次开机都会有微点拦截的通知,就是 1.exe, 2.exe, 4.exe, 6.exe。这几个每次开机都会新生成。微点拦截删除也还有。
于是,打开微点,看日志,发现这几个文件居然是winlogon.exe创建的。晕倒!看来病毒是用了进程注入,模块注入到这个登录程序中了。于是通过微点看winlogon.exe的相关模块,发现一个msgcom.dll的被标了蓝色。估计就是他了,但是微点没有提供删除模块的功能。于是启动到安区模式下,那种命令行窗口形式的,还是不能删那个msgcom.dll,因为进这种安全模式也是要登录的!
所以说,在登录后这个病毒就运行了。
想到有一类软件,可以卸载模块,冰刃,狙剑。于是用后者查找winlogon.exe的相关模块,一开始想卸载再自己手工删除满足一下,可是一卸载就重启!然后还是有毒。没办法,就直接用了卸载并删除!总算搞定。
另外:发现微点也在winlogon.exe里写了模块。另外很多系统启动程序里都有,可惜当时没截图。

由于msgcom.dll已经删除,所以没办法提供给微点测试了。

我觉得微点删不掉他的原因主要是因为它是随winlogon.exe一起启动的。

※ ※ ※ 本文纯属【blueiceqzh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-7 21:34
查看资料  发送邮件  发短消息   编辑帖子
曙光
版主

版主



积分 1421
发帖 1420
注册 2005-11-1
#2  

谢谢楼主对微点的支持,请问你的机器是什么操作系统的?微点是什么版本的?
你所说的问题,我们会分析一下的!

※ ※ ※ 本文纯属【曙光】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

技服电话:0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群:
       ·QQ群:630086 或 1471553 或 16998902
   
2007-4-7 21:39
查看资料  发短消息   编辑帖子
blueiceqzh
新手上路





积分 35
发帖 35
注册 2007-1-29
#3  

OS是WINXP,SP2 。因为是别人的电脑,所以用完微点就卸载了,没有办法截图,抱歉。
微点是4.5号从官方网站下载的版本,然后注册升级成功到新版本了。

※ ※ ※ 本文纯属【blueiceqzh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-7 21:42
查看资料  发送邮件  发短消息   编辑帖子
干虾米哟
中级用户





积分 343
发帖 343
注册 2007-2-12
#4  

我的电脑以前也是,微点杀了又冒出来……还是手动删除的呢……

※ ※ ※ 本文纯属【干虾米哟】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-8 07:14
查看资料  发送邮件  发短消息   编辑帖子
苹果小柚子
注册用户




积分 154
发帖 152
注册 2007-3-15
#5  

要是先装微点就不会出现你这情况了~~~

※ ※ ※ 本文纯属【苹果小柚子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

个人主页:

[URL]http://hi.baidu.com/80age[/URL]
2007-4-8 15:03
查看资料  发送邮件  发短消息   编辑帖子
linovo
中级用户




积分 346
发帖 334
注册 2006-12-9
#6  



  Quote:
Originally posted by blueiceqzh 但是微点没有提供删除模块的功能

强烈建议微点增加冰刃的杀线程和进程模块卸载功能。
今天电脑中了一个恶意软件(已发给微点了),该恶意软件会在系统的Program Files文件夹下创建一个名字叫safe360的文件夹,文件夹里面有几个动态连接库,此恶意软件挺狡猾,把几个线程象楼主所说的病毒那样插入到系统进程rundl32.exe里,非常隐蔽,并且不断检查自己的启动项有没有被删掉,若删掉又重建一个。safe360文件夹我用冰刃删了几次删不了,推断可能有进程已经加载了,查看进程时觉得这个rundl32.exe有可疑,因为此进程不是系统常用的核心进程,用冰刃查看它的模块果然给插进了。目前的微点虽然有模块查看功能,但很遗憾没有卸载功能,只好请出冰刃来杀了

[ Last edited by linovo on 2007-4-8 at 17:39 ]

附件 1: 未命名.JPG (2007-4-8 17:36, 121.1 K,下载次数: 40)


※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-8 17:35
查看资料  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#7  

谢谢您提的建议以及相关信息,我们会认真考虑的。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-4-8 17:49
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号