Board logo

标题: 连环报警 [打印本页]
作者: 100000     时间: 2007-10-13 21:25    标题: 连环报警

有个问题:
昨天已经删除的文件,今天还报发现病毒需要延迟删除,重新启动后,发现与该文件相关的程序不能启动

具体:

1.Folder Security Personal 3.6保护了winrar程序
2.微点不认识该该版本winrar
3.winrar昨天解压了一个传真modem的驱动包,解压后因为没有用到该驱动包就随手删除了
4.winrar今天解压了一个样本包,样本运行后,微点报警并删除了样本
5.同时报winrar为病毒程序
6.同时报winrar昨天解压过但是已经删除的传真modem驱动包里的文件为未知木马,需要延迟删除
7.同时报Folder Security Personal 3.6为rootkit程序,需要延迟删除
8.最后报该不存在的传真modem驱动包里的文件为rootkit文件,需要延迟删除
9.重新启动机器
10.发现传真modem使用中的驱动受破坏,传真软件无法使用。重新安装驱动恢复正常。

[ Last edited by 100000 on 2007-10-13 at 21:30 ]
附件 1: 对已经不存在的程序显示延迟删除.PNG (2007-10-13 21:25, 63.08 K,下载次数: 50)


附件 2: rootkit判断错误.jpg (2007-10-13 21:25, 92.09 K,下载次数: 57)


附件 3: rootkit判断错误2.jpg (2007-10-13 21:27, 51.17 K,下载次数: 35)


作者: Legend     时间: 2007-10-13 21:33
谢谢你提供的信息 我们会根据你的情况进行具体测试的
作者: 100000     时间: 2007-10-13 21:36
该贴只是对“对已经删除的文件还报警”,觉得有些怪。
其他报警都觉得符合情理。:lol:
作者: Legend     时间: 2007-10-13 21:42
你在什么地方有描述对已经删除的文件还报警? 能否再详细说明 谢谢
作者: 100000     时间: 2007-10-13 21:50
超版,您好!
第3~6条文说的是情况,第1个图是截图。

可能是微点对程序生成的文件有日志记录,但是对用户手动删除的文件没有日志记录,所以认为该文件还存在。

[ Last edited by 100000 on 2007-10-13 at 21:55 ]
作者: Legend     时间: 2007-10-13 21:52
谢谢你提供的信息
作者: 998csc     时间: 2007-10-15 15:47
呵呵.大包眼福了.
作者: Legend     时间: 2007-10-15 16:12
请问楼主,微点的具体版本是多少?(微点主界面->辅助功能->关于)

另外,请楼主将报告中所涉及到的文件(Folder Security Personal 3.6、winrar、样本包、modem的驱动包)、微点所报警的具体文件(可在[安全日志]中查看)和微点的技术支持信息压缩后一起发送到邮箱support@micropoint.com.cn。我们具体进行测试分析,谢谢您对微点的支持。

注:1)生成技术支持信息的操作: 微点主界面—>辅助功能—>生成技术支持信息。
2)按微点提示删除的文件会保存于[安全防护与策略|有害程序隔离]中,右键点击后选择“另存”即可。
3)发送时请在邮件中注明本帖链接,并在发送后请将您的邮箱地址以论坛短消息的方式发给我们,便于我们及时跟踪处理。
http://bbs.micropoint.com.cn/pm.asp?action=send&uid=77
作者: 100000     时间: 2007-10-15 21:58
补充:

1.Folder Security Personal 3.6保护了winrar程序

---是指在FOLDER SECURITY PERSONAL 3.6中将winrar的所有.exe文件和.dll文件设置为read only

超版,您好!相干资料已经发送,请查收。
作者: Legend     时间: 2007-10-15 22:10
谢谢楼主的反馈,您的邮件已收到,我们会尽快分析处理并给您回复。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn