Board logo

标题: 用微点,不幸中招了:((解决) [打印本页]
作者: newduba     时间: 2007-12-8 19:39    标题: 用微点,不幸中招了:((解决)

:(今天上网看到一个贺岁片《性命呼叫转移》,觉得很有意思就到百度去搜索了一下,想下载一个存盘的。结果搜索后,找到很多链接,大概是第一页或者第二页的一个链接我点击后出现微点报了病毒。然后提示我要重新启动才可以清除,我重启了电脑,再次上网发现百度居然都不能够访问了,很多站点被封锁了:(
多方查找发现google居然还可以用,见鬼了!用SREng才发现了问题,原来是我的host文件被修改了,如下图只是一部分,好多网址被定向到了60.217.32.45这个主机上面了,比如我只要访问www.baidu.com浏览器就会报错:
Multiple Choices
The document name you requested (/index.php) could not be found on this server. However, we found documents with names similar to the one you requested.
Available documents:

我用了firefox结果一样的,说明就是host的问题了。


希望微点加强host的保护啊!还有就是提示有问题了还不能够防住,这就是技术问题了,希望微点不断进步,一定要看好我的家门:):P

[ Last edited by Legend on 2007-12-10 at 17:30 ]
附件 1: host.jpg (2007-12-8 19:39, 27.33 K,下载次数: 45)


作者: newduba     时间: 2007-12-8 19:44
顺便说一句我的微点是每日都升级的,现在是:
微点主动防御软件  预升级
程序版本: 1.2.10571.0169
特征版本: 1.6.526.071208
更新时间: 2007-12-08 17:25:29


我用了可疑程序诊断和漏洞扫描都没有发现问题,我同时开了360安全卫士。
发现问题后我用了卡巴7.0.125绿色版和江民2008绿色版升级并且扫描了系统,没有发现病毒木马,难道我遇到的是最新的变种不成?!
我生成了技术支持ExportInfo.zip文件,如果需要我立刻发到网管邮箱吧!
作者: Legend     时间: 2007-12-8 19:44
感谢您的反馈,请您从隔离区将该报警文件另存后压缩后发到support@micropoint.com.cn,我们具体测试分析! 发帖时,请附上该贴链接,以便我们跟踪解决问题。
作者: newduba     时间: 2007-12-8 20:05
我刚才把技术支持ExportInfo.zip文件发给了微点技术支持邮箱: support@micropoint.com.cn

木马名称:Backdoor.Win32.Agent.exs

程序:
C:\TEMP\SCRRUN.DLL
是木马程序!
已成功阻止其运行,是否要删除此文件?



我用了卡巴和江民都认为这个文件不是木马,微点说是木马!修复host后到百度搜索,找到了:scrrun - scrrun.dll - DLL文件信息

DLL 文件: scrrun 或者 scrrun.dll
DLL 名称: Microsoft Script Runtime
  
描述:
scrrun.dll用于阅读和编写脚本和文本文件。


属于: Microsoft Script Runtime
系统 DLL文件: 是

常见错误: File Not Found, Missing File, Exception Errors


我看了从隔离区恢复的文件确实有问题,数字签名没有而且大小也比系统带的scrrun。dll小了3K,微点还是厉害啊!可惜没有防住他修改我的host啊!:o
附件 1: 签名.jpg (2007-12-8 20:05, 13.48 K,下载次数: 25)


作者: newduba     时间: 2007-12-8 20:14
图片和隔离文件,技术支持文件都已经发了,我邮件发送不小心发了二份,不好意思了:)
作者: kahaixiao007     时间: 2007-12-8 20:36
嗯,这个问题值得重视!
作者: zhong521     时间: 2007-12-8 20:47
关注!
作者: ypd88     时间: 2007-12-8 21:06
看来要小心点哦
作者: ljqft0536     时间: 2007-12-8 21:06
关注ing
作者: 共享     时间: 2007-12-8 22:51
真是高手!羡慕中……
作者: tianshousheng     时间: 2007-12-8 23:29
楼主也是高手哦,呵呵
作者: 100000     时间: 2007-12-9 00:05
新发现,不算严重,恶意程序...:lol::lol:
作者: newduba     时间: 2007-12-9 13:42
我才发现自己很蠢啊!
我们可以设置host文件的权限为everyone拒绝写入就可以了,当然这不能够完全禁止病毒木马的修改,毕竟他们也可以重新设置权限,毕竟大家普遍都用超级用户登陆的。一般性的修改就可以被禁止了:)
既然安全防护软件都没有想到这个,我们只好自己保护自己了!
作者: 千里走单骑     时间: 2007-12-9 23:46
呵呵。。。不错。。。。
作者: haowei     时间: 2007-12-10 14:58
还是微点厉害
作者: Legend     时间: 2007-12-10 17:30
楼主提交的文件经分析属于正常的文件。楼主可以先自行将微点所报的文件加入微点可信设置中去,具体设置如下:(微点主界面|安全防护与策略|程序行为实时监控策略|可信程序设置添加即可),感谢楼主的反馈。

此主题暂做关闭主题处理,如有其他问题,请您另开新帖讨论!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn