微点交流论坛

标题: 预升级版测试报告（五） [打印本页]

作者: dfsdfsdf 时间: 2007-9-10 18:24 标题: 预升级版测试报告（五）

预测试版和普通试用版还是有明显不同，以下仅报告近两天预测试版的情况，需要补充什么请说明
系统基本情况：
Intel Core2CPU6300@1.86GHz, 1GB内存（Dell Optiplex 745）
XP Professional 2002 SP2番茄花园
（装有AVG、360和卡巴但均未运行，“Windows任务管理器”的进程列表中没有三者的进程，但开IE连接网页时，状态栏里有时可以看到卡巴的小图标闪）

一、20070909 18:13
微点主动防御软件预升级
程序版本： 1.2.10571.0079
特征版本： 1.6.432.070906
更新时间： 2007-09-06 11:38:43
1、升级完成后第一件事就是测试前边打开主界面的问题（用普通试用版时遇到的问题）。BitComet0.70，两任务，没遇到前边出现过的错误提示，但是主界面打开的时间很慢，十六、七秒。
2、前几天微点提示的系统漏洞，补丁已下载，但没全打，打了几个补丁：
WindowsMedia10-KB917734-x86-CHS.exe， 2.43 MB
WindowsXP-KB920213-x86-CHS.exe 686 KB
WindowsXP-KB924496-x86-CHS.exe 1.59 MB
WindowsXP-KB928843-x86-CHS.exe 708 KB
鼠标双击运行，也需等待十六、七秒才出现下边的提示
http://mpicture.micropoint.com.c ... cbadfbd2c9c4f6539d1
这些现象以前没有遇到过

二、20070910 18:13
微点主动防御软件预升级
程序版本： 1.2.10571.0079
特征版本： 1.6.437.070910
更新时间： 2007-09-10 15:53:44
1、测试前边打开主界面的问题。BitComet0.70，三任务（两下一上），打开速度很快，1秒的样子，没遇到前边出现过的错误提示。
2、“右键”－>“打开”补丁程序WindowsMedia10-KB917734-x86-CHS.exe（2.43 MB），同样需等待约十六秒才出现安全提示。“Windows任务管理器”的进程列表中没发现CPU占用很多的进程，Idle Process 97－98。

[ Last edited by dfsdfsdf on 2007-9-17 at 10:03 ]

作者: Legend 时间: 2007-9-10 20:41
感谢您的积极测试和报告，欢迎您的进一步深入测试使用

作者: dfsdfsdf 时间: 2007-9-11 11:03
三、20070911 10:40
微点主动防御软件预升级
程序版本： 1.2.10571.0079
特征版本： 1.6.437.070910
更新时间： 2007-09-10 15:53:44
1、刚才向别人介绍微点，提到滞后时间较长的问题。运行程序的滞后于昨天一样。打开微点主界面的用时大出意料，接近25秒！运行BitComet0.70，三任务（两上一下，http://www.imgbt.com:5188/announce/和[url]http://btfans.3322.org:8080/announce;|[url]http://btfans.3322.org:6969/announce;|[url]http://btfans.3322.org:8000/announce;http://www.imgbt.com:5188/announce/[/url][/url][/url]，都处于连接服务器状态），没想到打开微点主界面的用时竟接近25秒！关闭BitComet，症状消失。重新打开BitComet，不启动任何任务，尝试打开微点主界面，没有很明显的延时，启动上边三个任务，重新尝试，延时依旧。
是不是因为BitComet开的连接进程太多就会这样，微点需要时间逐一进行检查？
2、在第二次启动BitComet任务后尝试打开微点主界面，在微点主界面出现之前，点了BitComet窗口，使其成为当前活动窗口，稍后微点主界面一闪而过，最下边任务栏中也没有微点程序窗口最小化图标，后点击任务栏中一个记事本程序，结果微点主窗口随之一起弹出。这个现象在普通试用版中也发现过。

[ Last edited by dfsdfsdf on 2007-9-17 at 10:01 ]

作者: Legend 时间: 2007-9-11 11:40
谢谢楼主的反馈，我们将根据您提供信息测试分析。
请楼主继续测试，并及时向我们反馈。

[ Last edited by Legend on 2007-9-11 at 11:42 ]

作者: dfsdfsdf 时间: 2007-9-11 11:51
微点的各位版主都很尽责，本人也很信任各位
以后我反馈上来的信息超版只要回个空帖，表示已经看到就行了，可以省点工夫。
如果我遇到问题需要各位帮助，会在帖子里注明。

作者: dfsdfsdf 时间: 2007-9-11 17:13
四、20070911 15:30
程序版本： 1.2.10571.0079
特征版本： 1.6.437.070911
更新时间： 2007-09-11 12:02:29
遇到一个奇怪现象，微点的防护功能似乎突然就消失了。刚才在system32中看到一个名字古怪的文件（_000008_.tmp.dll），大概是我查看其属性时，微点报告发现未知木马，提示中还提到另一个文件名，wvauth.dll。该文件没有版本信息，以前曾怀疑过，曾经备份删除后再重启，Dell Optiplex 745带的装机软件Document Manager（DocMgr.exe，Wave Systems Corp）报错，所以没当回事。因微点提示删除，故将该文件复制到桌面，并压缩成rar。此过程中微点数次报警发现未知木马并建议删除。时间不长，最多1-2分钟的样子，不论怎么折腾wvauth.dll，微点都不再报警。我又把以前已确认的一个病毒文件5a5apegtk.dll拿出来折腾（查属性、复制/粘贴等），微点均不报警。查看“有害程序隔离”列表，其中只有_000008_.tmp.dll和wvauth.dll，已上报样本。如果需要我可以通过email另行上传。
在http://www.spywaredata.com/spyware/malware/wxvault.dll.php 上报告两个名为wvauth.dll的木马，另有一个还在考察中。

[ Last edited by dfsdfsdf on 2007-9-17 at 09:57 ]

作者: Legend 时间: 2007-9-11 17:25
请您将以上样本压缩后发送到virus@micropoint.com.cn, 我们将进行分析处理，谢谢您的反馈。

注: 1)压缩时可以加上密码，并将密码在邮件中注明。
2)请将本帖链接附在邮件中，以便于我们跟踪处理。

作者: dfsdfsdf 时间: 2007-9-13 09:32
已将样本压缩发出，请查收
当时微点曾询问是否上报样本，选了“是”，是否已将微点查出的文件自动发送到指定服务器了？

作者: dfsdfsdf 时间: 2007-9-16 19:56
五、20070916 19:10
微点主动防御软件预升级
程序版本： 1.2.10571.0080
特征版本： 1.6.443.070916
更新时间： 2007-09-16 16:43:06

1、先报告一个微点的问题，可能是个小bug
主界面中间蓝色窗中实时滚动当前连接的远端地址，很方便。在“网络分析”－>“进程网络信息”中列出了当前进程网络连接较详细的情况。不知道这个窗口多长时间刷新一次。下午发现当出现时间不太长的连接时，上方的蓝色窗口中能够显示远端地址（见下图红色框），在下边的“进程网络信息”窗口中看不到。
http://mpicture.micropoint.com.c ... f80e19f28ae0f2a0617

2、还是进程的网络连接方面的疑惑。我现在只会导出日志，还不清楚如何导出上边“进程网络信息”窗口中的信息，所以还是截图如下，看着不方便，辛苦各位了
http://mpicture.micropoint.com.c ... bcb43d8c05d50957075
因为看到一些莫名其妙的连接，上网查了下，竟然有个3721，太恶心了！下边是www.ip138.com查的结果：
您查询的IP:203.209.244.240
本站主数据：北京市 3721科技有限公司
查询结果2：北京市 3721科技有限公司
查询结果3：北京市 3721科技有限公司
出现一段时间后自行消失。
右键点该进程，选“程序信息”，显示如下
http://mpicture.micropoint.com.c ... 1e392287f48e9c580f5
这里边的名堂我看不懂，但是第一个小窗口显示的“创建时间”，特别接近我前边报告“微点防护功能似乎突然消失”的时间。上次报告中的15:30是写报告时估计的大致时间，但愿只是巧合。
第二附图中的倒数第二个system进程的地址202.117.x.255应该是我们同一栋楼上的IP，查看其“程序信息”，显示内容同上。用360，windows清理助手，AVG扫描均报平安，那么微点监测到的这个与3721的连接是怎么回事？

3、AVG中显示的网络连接：
用AVG可以看到更多的网络连接，用www.ip138.com查询结果如下：
当时只打开了www.ip138.com 和bbs.micropoint.com.cn，微点的其他几个网址是程序运行时建立的连接，除了这两组，其他的都莫名其妙，我也没设代理

您查询的IP:222.77.185.15 bbs.micropoint.com.cn
222.77.185.17
222.77.187.247
本站主数据：福建省福州市电信
查询结果2：福建省福州市电信
查询结果3：福建省福州市电信

您查询的IP:72.14.235.165 google?
本站主数据：美国
查询结果2：美国
查询结果3：美国加利福尼亚州Mountain

您查询的IP:219.153.15.76 www.ip138.com
本站主数据：重庆市电信(江北区)
查询结果2：重庆市电信(江北区)
查询结果3：重庆市电信IDC机房(五里店机房)

您查询的IP:210.52.58.58
本站主数据：山西省太原市网通
查询结果2：山西省太原市网通
查询结果3：山西省太原市广电网

您查询的IP:209.85.167.99
本站主数据：美国
查询结果2：美国
查询结果3：美国/加拿大

您查询的IP:222.92.117.4
本站主数据：江苏省苏州市电信
查询结果2：江苏省苏州市电信
查询结果3：江苏省苏州市电信

您查询的IP:60.28.252.154
本站主数据：天津市网通
查询结果2：天津市网通
查询结果3：天津市网通ADSL

拜托各位！谢谢！

[ Last edited by dfsdfsdf on 2007-9-17 at 10:01 ]

作者: dfsdfsdf 时间: 2007-9-18 09:03
这里明显兴旺许多，帖子沉的也快了

作者: Legend 时间: 2007-9-18 15:13
经我们测试运行BitComet后没有复现楼主的情况，谢谢您的反馈，推荐您升级微点软件最新版本测试；

1.您所说的“进程网络信息”窗口是即时显示的，您也可以当在蓝色智能窗口看到连接后点击会自动定位到进程网络信息窗口内具体进程网络信息处。
2.进程网络信息由于是即时显示的暂不支持导出功能， 207.246.130.100 应该是美国的地址，123端口是同步系统时间服务的端口，137、138是局域网络的共享端口；
您选择的程序信息截图中第一个小窗口显示的explorer.exe是系统的正常进程。
关于3721的那个链接，请把您的微点软件辅助功能-生成技术支持信息导出发到support@micropoint.com.cn我们具体分析下。随信请注明您的具体情况，发送完请把您的邮箱地址用论坛短消息发给我，方便对您的问题的跟踪处理。
3.关于AVG显示的IP,请查看您当时正在运行哪些进程，分别是哪些进程链接的这些远程ip地址。

作者: Legend 时间: 2007-9-21 16:05
我们没有收到楼主的进一步反馈
此主题暂做关闭主题处理，如有其他的问题，请另开新帖讨论。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn