微点交流论坛

标题: 这么多，到底是误报还是真木马，好久没遇到过了？ [打印本页]

作者: 一米阳光 时间: 2010-1-19 20:24 标题: 这么多，到底是误报还是真木马，好久没遇到过了？

时间处理结果木马名称木马进程名木马文件创建者
2010-01-16 23:15:28 处理成功未知木马 C:\USERS\GOD\APPDATA\LOCAL\TEMP\~NSU.TMP\CU_.EXE D:\PROGRAM FILES\THUNDER NETWORK\THUNDER\UNINSTALL.EXE
2010-01-16 23:15:27 处理成功未知木马 C:\USERS\GOD\APPDATA\LOCAL\TEMP\~NSU.TMP\BU_.EXE D:\PROGRAM FILES\THUNDER NETWORK\THUNDER\UNINSTALL.EXE
2010-01-16 23:15:27 处理成功未知木马 C:\USERS\GOD\APPDATA\LOCAL\TEMP\~NSU.TMP\AU_.EXE D:\PROGRAM FILES\THUNDER NETWORK\THUNDER\UNINSTALL.EXE
2010-01-16 23:15:26 处理成功未知木马 D:\PROGRAM FILES\THUNDER NETWORK\THUNDER\UNINSTALL.EXE
2010-01-16 14:03:53 处理成功未知间谍软件 D:\PROGRAM FILES\NEED FOR SPEED SHIFT\SHIFT.EXE C:\WINDOWS\EXPLORER.EXE
2009-12-25 20:30:50 处理成功 Trojan-Downloader.Win32.Adload.dai D:\PROGRAM FILES\TENCENT\QQ\BIN\LOCALVIP.DLL C:\WINDOWS\EXPLORER.EXE

系统：msdn win7 专业版
微点：微点主动防御软件试用版
程序版本： 1.2.10581.0262
特征版本： 1.6.1364.100119
更新时间： 2010-01-19 16:52:11

版权所有 (C) 2005-2009 Micropoint Corporation

北京东方微点信息技术有限责任公司
福建东方微点信息安全有限责任公司

信箱：support@micropoint.com.cn
网址：http://www.micropoint.com.cn

迅雷卸载的时候报木马，这个有点蹊跷？
最后那个我记得好像是个会员补丁还是什么的，以前报，现在没报了。

作者: Legend 时间: 2010-1-19 20:29
感谢楼主反馈
请将微点报警文件（微点主界面--安全防护与策略--有害程序隔离区另存为出来，微点报警点不删除）及技术支持信息（微点主界面--辅助功能--生成技术支持信息）一并发送到 support@micropoint.com.cn 邮箱，发送时请在您邮件中复制本帖连接，以便我们跟踪解决您的问题。

作者: 一米阳光 时间: 2010-1-19 20:35
D:\PROGRAM FILES\NEED FOR SPEED SHIFT\SHIFT.EXE

这个是极品飞车13，文件找不到了，我全部删除了，好像

其他的还有，已经发到邮箱了

作者: 王者天下 时间: 2010-1-20 03:11
估计是软件的行为不好，微点是行为监测。

作者: 一米阳光 时间: 2010-1-21 14:08
不知道测试结果怎么样？

作者: Legend 时间: 2010-1-21 14:16
感谢楼主的询问，此问题我们正在分析中，请耐心等候。

作者: 一米阳光 时间: 2010-1-22 11:41
已经发送了，刚刚给你们发了论坛消息

作者: 一米阳光 时间: 2010-1-23 11:02
尊敬的用户，您好！
您的邮件已经收到，感谢您及时联系微点客户服务人员！希望下面的邮件内容能够使您得到您所需要的帮助;根据您描述的情况及提供的信息，我们的技术工程师做了详细的测试与分析。详情如下：


MP18\
00000000_JMCR.SYS ：非病毒文件
00000001_AUTOEXEC.BAT ：非PE文件
00000002_FFDSHOW.AX ：非病毒文件
00000003_UIANIMATION.DLL ：非病毒文件
密码是：virus\
AU_.EXE ：非病毒文件
BU_.EXE ：非病毒文件
CU_.EXE ：非病毒文件
UNINSTALL.EXE ：非病毒文件


请等待微点的更新，感谢您的反馈。

注释：
PE文件：Win32环境下的可移植执行体。
dll文件：动态链接库文件，由其它程序调用，单独无法运行。
   已损坏的PE文件：经第三方程序修改或人为造成文件损坏。
   非病毒文件：不含有恶意代码的文件。
   非PE格式的病毒文件：泛指网页木马、脚本病毒、宏病毒、恶意代码等。

--------------------------------------------------------------------------------

东方微点技术支持
| 北京东方微点信息技术有限责任公司
| BeiJing Eastern Micropoint Info-Tech CO., LTD
| 技术支持: support@micropoint.com.cn
| 样本上报: virus@micropoint.com.cn
| 官方论坛: http://bbs.micropoint.com.cn
2010-01-21

--------------------------------------------------------------------------------

作者: 一米阳光 时间: 2010-1-23 11:03
这个好像是您们发给我的邮件吧

作者: magicface 时间: 2010-1-23 22:06
这么多误报。。。服了

作者: 王者天下 时间: 2010-1-25 07:31

Quote:

Originally posted by magicface at 2010-1-23 22:06:
这么多误报。。。服了

你真的认为有的软件没病毒？或者说病毒行为？

记得原来很多人说微点误报暴风影音（提示后门程序）

最后得知暴风影音在没有通知用户的情况下自动加入广告程序，（这已经是病毒行为了）加入广告就属于后门的......

暴风影音的后门广告【你可以百度一下的】

【百度搜索暴风影音后门】上次暴风为什么被黑了？不就因为这个后门广告吗

微点提示暴风影音有后门程序（微点是行为分析）特征码的杀毒软件不会提示的

但想说的是，暴风很流氓................

上次微点提示皮皮播放器间谍程序，最后使用HIPS运行监测之后发现

皮皮播放器自动后台加入DLL广告程序，本身不通知用户后台自己加入

本身就是一种病毒行为和病毒已经没有两样了。

误报什么软件都有的，是不可避免的

如果一个软件查杀率很低我相信他的误报当然也很低的

比如，卡巴小红伞刚进入国内的时候误报也是很严重的，总要有时间适应和解决的

瑞星误杀微软补丁，查杀用户邮件

百度搜索瑞星误杀门。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn