微点交流论坛

标题: 微点在中毒机器上的安装表现 [打印本页]

作者: renwo1 时间: 2008-7-23 22:48 标题: 微点在中毒机器上的安装表现

来源：http://bbs.366tian.net/thread-719141-1-1.html
作者：心随风落

这次的测试主要是为了查看微点在VKING、AV终结者以及清除流氓软件方面的测试！当然此次测试也加了其他木马程序，后门程序，病毒之类的！
      流氓软件：CINNIC 雅虎助手网络猪很棒小秘书  青娱乐
      其他病毒程式较多，就不一一列出来了！
测试过程：
1、安装完整版系统，由于此次安装过程失误，导致虚拟机无法上网！补丁一个没打！
2、拷贝病毒程序、流氓程序到虚拟机！此次病毒收集来源卡饭样本区、剑盟样本区，为最近几天的样本！均来自互联网！
3、安装流氓软件，详见图
http://bbs.366tian.net/attachmen ... 2v8LF.jpg.thumb.jpg
4、运行病毒样本，检查中毒效果  详见下图
http://bbs.366tian.net/attachmen ... 55bBcLZc57ucbOA.jpg
http://bbs.366tian.net/attachmen ... 7tPZ2.jpg.thumb.jpg
http://bbs.366tian.net/attachmen ... 8fa2IQfkLUZdYqX.jpg
http://bbs.366tian.net/attachmen ... 8fa2IQfkLUZdYqX.jpg
http://bbs.366tian.net/attachmen ... Hzvn1.jpg.thumb.jpg
http://bbs.366tian.net/attachmen ... X65D3.jpg.thumb.jpg
http://bbs.366tian.net/attachmen ... cfvrO.jpg.thumb.jpg
5、由于以上的症状对于一个对病毒方面不了解的人来说  只知道中毒了！这个时候你可以在网上查询这个症状是VKING、AV终结者、U盘病毒等程序共同的杰作！那么我们应该怎么做呢？既然知道IFEO被劫持，安全模式被破坏，那么我们就从这个地方入手，下面我介绍一个工具！

AV-SafeBoot Killer清理工具Beta 2[1].0.1.rar (951.39 KB)
打开这个工具，选择IFEO扫描，你会发现很多不正常的东西，扫描完毕你再点删除劫持项，此时劫持已经搞定！
http://bbs.366tian.net/attachmen ... DwTxb.jpg.thumb.jpg
再点安全模式修复，先点扫描安全项，再点修复按钮！
http://bbs.366tian.net/attachmen ... HL6dC.jpg.thumb.jpg
此时被弄坏的东西修复好了，但是你必须得在你弄完以后，马上重启进入安全模式，为什么呢？因为病毒会监控如果发现自己的东西不在了，就会再破坏一次！此时进入安全模式以后，马上安装微点，安装完毕立即重启，进入正常模式！
http://bbs.366tian.net/attachmen ... RAdHG.jpg.thumb.jpg
6、进入正常模式后，会不断的弹出报警提示，此时无论什么都点确定即可！报警过程你会发现有的东西说要延迟删除。。。。你暂不重启，待微点的报警提示逐渐减少，再次重启！第二次重启进入系统以后，你还会看到报警。。。继续确定吧！如果第二次报警也较多的话，则继续重启，为的就是让系统更加安全！当重启后没有报警的时候，我们就来做善后工作了！

7、这个时候打开微点，点击系统自启动信息！右键选择隐藏已知的启动信息，这个时候你看到的是微点用蓝色标记的其他类软件信息！可以参考下图几个方法，进行选择性的删除！在这个地方我就来用微点PK流氓！
http://bbs.366tian.net/attachmen ... 4E0cd.jpg.thumb.jpg
http://bbs.366tian.net/attachmen ... ePRhx.jpg.thumb.jpg
http://bbs.366tian.net/attachmen ... 9jZno.jpg.thumb.jpg
删除完毕后，看就剩下几个正常的和自己拿不准的！
http://bbs.366tian.net/attachmen ... opRhk.jpg.thumb.jpg
先别管，整机器重要！
http://bbs.366tian.net/attachmen ... 1Ieb4.jpg.thumb.jpg
流氓软件干净了么？没有，微点只是干掉了部分，那么还有的是什么呢？当然是他们各自的文件夹呀？找到相应的文件夹删之，决不手软！怎么样是不是不会再提示你删不掉了！虽然麻烦点，但绝对的强大！
http://bbs.366tian.net/attachmen ... ehxYI.jpg.thumb.jpg
再看看U盘病毒，哇咔咔，没有了
http://bbs.366tian.net/attachmen ... 8c3gpivM5Ib7FTH.jpg
再你以后的使用中，如果开机发现以下的提示
http://bbs.366tian.net/attachmen ... myvcS.jpg.thumb.jpg
则立即打开微点的系统自启动信息，找到提示文件，知道该怎么做了吧！
http://bbs.366tian.net/attachmen ... qOcNG.jpg.thumb.jpg
9、这些做完以后，发现VKING感染的还没有修复，于是就卸载WINRAR，重新安装一次，安装完毕后，使用VKING专杀，对系统进行杀毒！对于此次测试，我发现只要微点库里有VKING的特征，那么微点就可以修复这类的东西，但还是会有不足之处，不足之处详见测试一！
所以对于已经中VKING的机器，我个人建议在安全模式下安装微点后，立即重启，然后再到网上查找相关的专杀，进行文件修复！为什么一定要先安装微点呢？微点可以有效的阻止VKING进一步感染，我可不想我一边修复，它一边感染，那我还干个P呀！

此次测试会使用到测试一当中的部分功能，在这我就不多说了，当我把这一连环的测试做完，你就会对微点有了一定的认识和了解！
此次测试中IE主页被修改，由于测试一已经给出了解决办法，我就没继续说这个问题了！
总结：微点还是一如既往的在中毒机器上杀毒，表现不错~！（但由于样本取材的局限性，测试仅供参考！）但是微点在修复被感染的问题上还是有所欠缺，这个就等待微点的扫描引擎出来，看能不能给我们带来新的亮点！从这2次的测试看，微点应该继续加强对病毒的判断，在杀毒方面的稳定性进一步加强！这样才能给我们一个好的微点，强的微点！另外建议微点出自己的专杀工具，为什么要出专杀，不是因为微点杀不了，而是有的朋友没有安装微点，在中毒后想通过微点来解决，如果微点的扫描引擎能够很好的解决感染修复的话，那么专杀就可以不用了！当然这些都是在扫描出来以后才好研究、讨论的！

[ Last edited by renwo1 on 2008-7-23 at 22:51 ]

作者: renwo1 时间: 2008-7-23 22:49
我编辑的可能有点问题，请斑竹帮助整理一下吧，在别的论坛出图，在这里出不来

作者: Legend 时间: 2008-7-23 23:09
如果楼主有样本，请及时发生到我们support@micropoint.com.cn 邮箱，随信请附带此贴链接和微点的技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）。

作者: lzws03 时间: 2008-7-24 11:45
这是第二部分，第一部分没有转过来，需要的去那边看看也成呀

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn