微点交流论坛

标题: 恳请微点高度关注xxx.eh7.biz [打印本页]

作者: cctw 时间: 2008-1-3 11:03 标题: 恳请微点高度关注xxx.eh7.biz

今天偶然发现，当我百度一个词的时候，状态栏总要连接xxx.eh7.biz。我觉得奇怪，上网一查，居然是病毒。而我的电脑安装了微点预升级版[更新至1月2日]＋德国小红伞＋360safe，微点提示c:\windows\system32\txomou.exe阻止或放行。我选择的阻止，但仍然无效，状态依旧。查看微点日志，居然没留下痕迹。由于不知道究竟为何物，暂时无法上传样本。我在安全模式下想杀一下，但微点和小红伞不能正常启动服务。任务管理器被禁用。到目前为止，我还不知道如何处理这个问题，想提请微点高度关注一下哈。谢谢你们。

[ Last edited by cctw on 2008-1-3 at 11:50 ]

作者: images 时间: 2008-1-3 11:09
微点-注册表修复-任务管理器锁定-解锁。

作者: Legend 时间: 2008-1-3 11:13
请问楼主您上述的{我选择的阻止，但仍然无效，状态依旧}能否具体说明一下，是否是点阻止无法成功？

请利用微点主界面-->系统分析-->微点主界面-->系统分析-->注册表修复-->任务管理器解锁。

请您将c:\windows\system32\txomou.exe发送到我们support@micropoint.com.cn 邮箱，随信请附带（操作系统版本+微点版本+详细情况描述+技术支持信息文件（辅助功能-->生成技术支持信息）以及此贴链接，我们好详细模拟您的系统环境进行测试分析。

您发送完后，请通过论坛短消息将您的邮箱地址发给我，也请附带此贴链接。

楼主也可以使用QQ将微点在线管理员加为好友（QQ:383154254或466248167），让他协助您在线分析处理一下。

作者: cctw 时间: 2008-1-3 11:15
谢谢上面几位，中午点吧，我现在进的是互联网，出问题的是党政专网，所以请版主稍等一下哈。还有，看我找得到txomou.exe不。

作者: cctw 时间: 2008-1-3 11:31
向各位报告最新进展：

一、找不到c:\windows\system32\txomou.exe，但在C:\WINDOWS\Prefetch下找到：TXOMOU.EXE-2D2DDB91.pf，稍后一并上报
二、用小红伞杀了一下毒，把报告附上来：
AntiVir PersonalEdition Classic
Report file date: 2008年1月3日  10:30

Scanning for 999079 virus strains and unwanted programs.

Licensed to:    Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform:       Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:       Administrator
Computer name: D07AD9E0C07B49A

………………省略部分…………

Start of the scan: 2008年1月3日  10:30

Starting the file scan:

Begin scan in 'C:\' <system>
C:\pagefile.sys
   [WARNING] The file could not be opened!
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\5MWK7GK4\xjz2007[1].bmp
   [DETECTION] Contains detection pattern of the exploits EXP/Ani.Gen
   [INFO]    The file was deleted!
End of the scan: 2008年1月3日  10:42

三、用微点已经为任务管理器解锁。但日志中仍没有相关阻止纪录。经过小红伞全盘杀毒，现在没有再连接xxx.eh7.biz网站了[此间微点没有提示哈，当然微点也起了最初提示阻止或放行的重要作用]。
最后谢谢大家了。

[ Last edited by cctw on 2008-1-3 at 11:34 ]

作者: Legend 时间: 2008-1-3 11:51
请楼主将被报警文件从微点的有害程序隔离区里另存为出来，连同技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到support@micropoint.com.cn邮箱我们将做进一步的测试分析,请附上本贴链接，以便我们进行深入测试，跟踪解决您的问题。

楼主发送完后，请将您的邮箱地址通过论坛短消息发给我，也请附带此贴链接

作者: cctw 时间: 2008-1-3 11:58
回版主大人的话，“有害程序隔离区”里是空的，安全日志里各项日志也没有任何纪录(这也是我感觉非常奇怪的地方)。技术支持信息已生成zip文件发送过来了（邮箱[email]/*已屏蔽*/[/email]），请您查收哈。

[ Last edited by Legend on 2008-1-3 at 12:23 ]

作者: Legend 时间: 2008-1-3 12:24
请查看微点安全日志的可疑程序日志里面所记录的文件，然后发给我们

作者: cctw 时间: 2008-1-3 14:19

Quote:

Originally posted by Legend at 2008-1-3 12:24:
请查看微点安全日志的可疑程序日志里面所记录的文件，然后发给我们

老大，也是空的。我是俺这里的网管，这些我都看过了。就是不明白啊，为什么一点纪录都没得。到目前为止，微点只询问过我是阻止还是放行。呵呵。

作者: 小小刀 时间: 2008-1-3 16:40
高度关注中，期待最终解决

作者: ithink 时间: 2008-1-3 22:22
是ARP欺骗，绑定网关MAC，而且是双向绑定，所以要局域网内所有机器都要杀毒
就是那个txomou.exe，我也传给了超版，微点已经是非常厉害了，卡巴连这个病毒都没有拦到，不然不出多久你的机器上就有很多各种各样的木马了，呵呵

作者: cctw 时间: 2008-1-4 09:53
最近局域网确实中了ARP病毒。谢谢楼上各位！

作者: PLW128 时间: 2008-1-4 12:23
看来是个狡猾的病毒.................

作者: cctw 时间: 2008-1-4 17:56
目前系统没有再次中毒，也没有新的信息反馈给版主了，而且有兄弟已经发送了样本，建议是否作关闭处理？

作者: Legend 时间: 2008-1-14 17:29

Quote:

Originally posted by ithink at 2008-1-3 22:22:
是ARP欺骗，绑定网关MAC，而且是双向绑定，所以要局域网内所有机器都要杀毒
就是那个txomou.exe，我也传给了超版，微点已经是非常厉害了，卡巴连这个病毒都没有拦到，不然不出多久你的机器上就有很多各种各样的木 ...

请将您发送邮箱的地址通过论坛短消息发给我，好及时查询

作者: Legend 时间: 2008-1-24 12:05
由于没有收到楼主进一步的反馈信息，本主题暂作关闭处理，如有问题，请另开新帖讨论。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn