Board logo

标题: 微点无法杀掉这个流氓软件 [打印本页]
作者: bug     时间: 2007-6-22 22:13    标题: 微点无法杀掉这个流氓软件

自从装了微点后,第一次中流氓软件

在[url]http://www.***.html[/url*]这里图一红圈处下载的my_70032.exe是一个新的流氓软件,运行后没有任何反映,360 3.4版本和微点最新版本都没有反映,查看微点的程序生成日志发现生成以下几个文件
2007-06-21 09:59:12 C:\RECYCLER\S-1-5-21-776034448-1851556530-2362194045-1284\DC2.DLL1 C:\TEMP\TEMPAQ
2007-06-21 09:59:09 C:\RECYCLER\S-1-5-21-776034448-1851556530-2362194045-1284\DC5.SYS C:\TEMP\TEMPAQ
2007-06-21 09:59:06 C:\RECYCLER\S-1-5-21-776034448-1851556530-2362194045-1284\DC3.SYS C:\TEMP\TEMPAQ
2007-06-21 09:59:05 C:\TEMP\TEMPAQ C:\DOWNLOADS\MY_70032.EXE

在C:\WINDOWS\system32\8h3c3v4.dll,微点报未知间谍程序,但无法删除,会在图二的注册表位置加入启动项,也会在图三的位置加一个键值,删除这2个键值后重启还会出现,用360粉碎文件工具1.6.0003版删除这个文件时,立即蓝屏重启,后来用unlocker1.8.5成功删除8h3c3v4.dll,删除上述2个键值重启还会自动添加这2个键值,样本文件名改为8h3c3v4.dll1了
发现修改了默认主页为[url]http://**/[/url*],图四

可以证实是流氓软件了
看了一下[url]http://www.***.cn/[/url*]这个网站所有的下载页面都有my_70032.exe的下载链接,不知道是被挂马了还是有意这样。
360最新的3.5版本和微点都无法查出这个流氓软件

[ Last edited by Legend on 2007-6-22 at 22:28 ]
附件 1: 1.jpg (2007-6-22 22:13, 163.36 K,下载次数: 50)


附件 2: 2.png (2007-6-22 22:13, 19.5 K,下载次数: 50)


作者: bug     时间: 2007-6-22 22:14
图续
附件 1: 3.jpg (2007-6-22 22:14, 82.22 K,下载次数: 36)


作者: bug     时间: 2007-6-22 22:15
续图
附件 1: 4.jpg (2007-6-22 22:15, 20.27 K,下载次数: 73)


作者: bug     时间: 2007-6-22 22:19
麦咖啡,卡吧可以查出这个流氓软件
作者: Legend     时间: 2007-6-22 22:47
楼主的情况请把您的这个C:\WINDOWS\system32\8h3c3v4.dll文件导出连同微点软件安装目录下的mp6目录导出复制到桌面压缩发到virus@micropoint.com.cn我们具体测试分析下;
并请注明您的微点软件版本。
随信请附上本帖子的链接,方便对您的问题的跟踪处理
作者: bug     时间: 2007-6-22 22:59
昨天上午已经将my_70032.exe打包发给virus@micropoint.com.cn,昨晚用了一个小时手工删除这个流氓软件
作者: chrisine     时间: 2007-6-22 23:49
等待消息
作者: bug     时间: 2007-6-23 10:04
晕!我手工都把病毒清除了,还说不是病毒:cool:,卡吧麦咖啡是报病毒的
附件 1: 2007-06-23_100220.jpg (2007-6-23 10:04, 18.87 K,下载次数: 59)


作者: Legend     时间: 2007-6-23 18:26
您反应的情况经核实是因为我们在回复大量邮件的过程中出现了误操作,相关责任人已经处理,您反馈的问题我们正在分析中。
感谢您对微点公司的支持。
作者: whitehat     时间: 2007-7-6 00:53


  Quote:
Originally posted by Legend at 2007-6-23 18:26:
您反应的情况经核实是因为我们在回复大量邮件的过程中出现了误操作,相关责任人已经处理,您反馈的问题我们正在分析中。
感谢您对微点公司的支持。

这样的错误不能犯啊!!!哎!!
作者: 牛行天下     时间: 2007-7-6 06:35
微点目前还只是杀毒软件呀
作者: qq2008444     时间: 2007-7-12 16:14


  Quote:
Originally posted by 牛行天下 at 2007-7-6 06:35:
微点目前还只是杀毒软件呀

不算杀毒软件
算病毒防火墙
作者: Legend     时间: 2007-7-12 16:18


  Quote:
Originally posted by qq2008444 at 2007-7-12 16:14:

不算杀毒软件
算病毒防火墙

微点主动防御软件兼有杀毒软件和防火墙的功能,微点主动防御软件以行为分析判断技术为主,通过对程序的行为监控、分析、判断实现对新病毒的主动防御,同时,辅以特征值扫描技术快速查杀已知病毒,实现对系统的多重防护。比如,您在对文件进行复制、打开、传输、属性查看等操作时,微点主动防御软件首先采用特征码扫描技术对文件进行病毒特征码的扫描,如果发现某文件是病毒,会弹出报警窗口,同时给您提示病毒的名称。
作者: zipkong     时间: 2007-7-12 23:28


  Quote:
Originally posted by Legend at 2007-6-23 18:26:
您反应的情况经核实是因为我们在回复大量邮件的过程中出现了误操作,相关责任人已经处理,您反馈的问题我们正在分析中。
感谢您对微点公司的支持。

首先,我对于这句话感到非常失望,第二,我用卡巴斯基6.0.2.621扫描过,居然没有任何反应,试问一个这么小的EXE文件放在一个不同主题的下载页面下,谁会相信它不是病毒呢?
作者: qq2008444     时间: 2007-7-13 09:28


  Quote:
Originally posted by zipkong at 2007-7-12 23:28:


首先,我对于这句话感到非常失望,第二,我用卡巴斯基6.0.2.621扫描过,居然没有任何反应,试问一个这么小的EXE文件放在一个不同主题的下载页面下,谁会相信它不是病毒呢?

这种下载站太多了
我那回去下个WINRAR,下回来竟是个只有300KB大的SETUP.EXE
扫描出毒是个马
后来再去看看
每个页面的下载连接都是那个
呵呵:D
至于扫不出毒
请注意
它是个流氓软件
当然也可能是因为它做过了免杀

[ Last edited by qq2008444 on 2007-7-13 at 09:30 ]
作者: Hell     时间: 2007-8-5 17:13
<a href="http://www.ip138.com"  target="_blank">中国最大的、最权威的IP数据库</a>
作者: Hell     时间: 2007-8-5 17:14


  Quote:
Originally posted by Hell at 2007-8-5 17:13:
<a href="http://www.ip138.com"  target="_blank">中国最大的、最权威的IP数据库</a>

CODE:  [Copy to clipboard]
<a href="http://www.ip138.com"  target="_blank">中国最大的、最权威的IP数据库</a>




欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn