微点交流论坛

标题: 今天好像中木马了，微点主动防御没报警 [打印本页]

作者: xdz0611 时间: 2010-4-29 22:52 标题: 今天好像中木马了，微点主动防御没报警

今天用阿里旺旺聊天的时候，买家发了个压缩包过来，说是宝贝图片，我也没仔细注意，直接就双击了，打开了才发现图表好像不对，然后发现扩展名是exe的，就知道完蛋了。

用的是微点主动防御，没有报警。360也早让我卸载了，现在用的QQ医生，也是什么反应都没有。赶紧上网下载了微点杀毒（以前装了之后待机恢复cpu占用高就卸载了），结果装上重启不能用，说启动失败。这个时候着急啊，先是把那个有毒的文件上传到可以在线扫描的网站，3个网站扫描的结果是50%左右的杀软都报告木马了。

然后赶紧下载了avast和360装上，这次avast看到那个那个有毒的文件就报警了，放进了隔离区。然后重启用avast扫描了半天，主要是c盘，居然没有发现任何问题。也装了360扫描木马，也没有找到问题。

我现在最害怕的就是不知道这个木马会带来什么后果。也不知道他隐藏在系统的什么地方，启动项、服务这些我都一一手动看过了，也看不出来问题，任务管理器里面进程也没看出来问题。

所以想请微点的技术支持工程师帮我分析下这个木马，文件已经发送到支持邮箱了。稍后会PM超版我发信所用的邮箱。

再次感谢微点工作人员的帮助。

作者: Legend 时间: 2010-4-29 22:56
感谢楼主的反馈。

请将样本文件加密压缩【密码为virus】发送到virus@micropoint.com.cn ，发送时请附带本贴链接，并请发件后将发件邮箱以论坛短消息的形式发送给我们，以便我们后续跟踪处理您的问题。我们将尽快分析后给您答复。

作者: xdz0611 时间: 2010-4-29 23:00
不好意思，我发送到support@micropoint.com.cn了，我以为跟以前一样。
我马上重新发送一份。

[ Last edited by xdz0611 on 2010-4-29 at 23:01 ]

作者: Legend 时间: 2010-4-29 23:01

Quote:

Originally posted by xdz0611 at 2010-4-29 23:00:
样本文件已经发送了，但是没有加密，需要再加密之后重新发送一份么？

感谢楼主的反馈。如果发送成功，无需再次发送。我们将尽快分析后给您答复。

作者: xdz0611 时间: 2010-5-1 18:36
收到技术支持的回复了。说能够有效预防这个问题，但是很奇怪的是为什么没有报警。

作者: weizg 时间: 2010-5-2 15:58
你看一下微点的日志，看生成文件情况，就知道我个EXE动了什么

作者: Legend 时间: 2010-5-4 10:09
楼主提交的文件分析结果如下
文件名：未命名.jpg.exe
结果：经测试，该文件为病毒文件，运行后释放文件C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\E_4\KRNLN.FNR、C:\PROGRAM FILES\PRCNUOZSR.EXE、C:\PROGRAM FILES\PRCNUOZSR.DLL、 C:\WINDOWS\FONTS\FF4E906BA6B28ACB0670922172F3C4DE.DAT、 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\BCLIB\KRNLN.FNR、C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\BCLIB\KRNLN.FNE到系统目录，微点主动防御能有效拦截。
谢谢楼主的反馈，本主题暂做关闭处理，建议楼主下次遇到此种情况及时联系微点管理员qq:466248167或383154254帮您远程分析。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn