Board logo

标题: [万分注意:]已经有病毒过微点了,同距斗一翻之后不够距斗,唯有重起电脑! [打印本页]
作者: 408983504     时间: 2007-7-12 02:19    标题: [万分注意:]已经有病毒过微点了,同距斗一翻之后不够距斗,唯有重起电脑!

分享一下我同距的聊天记录!
请超版多加注意!!

[ Last edited by 408983504 on 2007-7-12 at 02:25 ]
附件 1: sshot-2.png (2007-7-12 02:19, 16.08 K,下载次数: 28)


附件 2: sshot-3.png (2007-7-12 02:19, 48.18 K,下载次数: 54)


作者: 408983504     时间: 2007-7-12 02:23    标题: NB病毒~!!!!!

微点完全检测不了啊
被他控制我都是开始弹记事本个阵我先知者!
大家要多加小心啊!
辛好有"影子系统"
作者: Legend     时间: 2007-7-12 05:52
请您把病毒样本及微点软件安装目录下的mp6目录选择复制到桌面压缩发送到virus@micropoint.com.cn邮箱,并说明情况,我们具体进行测试,谢谢您对微点的支持。
您的情况比较特殊,方便的话请加微点管理员(QQ号:466248167)帮您具体进行分析。谢谢您对微点的支持。
注:发邮件时请把此帖子的链接一同发送,便于工作人员跟踪您的问题,及时为您解决问题。

[ Last edited by Legend on 2007-7-12 at 07:50 ]
作者: Rokit     时间: 2007-7-12 06:47
看来看去,楼主的电脑是被入侵了吧?!
作者: zqrsc     时间: 2007-7-12 10:34
木马? 有样本不?
作者: 408983504     时间: 2007-7-12 11:19
样本已通过消息发送下载连接
此病毒太厉害,希望!望大家不要乱试


MP6文件夹已经发送!!!
请查收

[ Last edited by 408983504 on 2007-7-12 at 11:50 ]
作者: 408983504     时间: 2007-7-12 11:37
经微点管理员的帮助下,查看进程启动日志
查到了这些可疑项,打“i“符号那些

最有可疑的是那个QQ的启动日志
我个QQ装在E:\Program Files\Tencent\QQ\CoralQQ.exe 里的


这是程序生成日志,可以看出打开了“jjyy.exe”之后就出现了问题

  Quote:
创建时间        文件名        创建者
2007-07-12 11:08:53        C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\NSD3.TMP\SYSTEM.DLL        C:\PROGRAM FILES\RINGZ STUDIO\STORM CODEC\STORMSET.EXE
2007-07-12 02:14:15        C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\NSL3.TMP\SYSTEM.DLL        C:\PROGRAM FILES\RINGZ STUDIO\STORM CODEC\STORMSET.EXE
2007-07-12 01:40:16        C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\MSINFO\SYSWFGQQ2.DLL        E:\QQ.EXE
2007-07-12 01:39:54        E:\QQ.EXE        C:\WINDOWS\SYSTEM32\SVCHOST.EXE
2007-07-12 00:59:31        C:\PROGRAM FILES\COMMON FILES\JHYYY.EXE        C:\DOCUMENTS AND SETTINGS\USER\桌面\JHYYY\JHYYY.EXE
2007-07-12 00:59:29        C:\PROGRAM FILES\COMMON FILES\ATION\JHYYY.EXE        C:\DOCUMENTS AND SETTINGS\USER\桌面\JHYYY\JHYYY.EXE
2007-07-12 00:59:28        C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\E_4\REGEX.FNE        C:\DOCUMENTS AND SETTINGS\USER\桌面\JHYYY\JHYYY.EXE
2007-07-12 00:59:28        C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\E_4\SHELL.FNE        C:\DOCUMENTS AND SETTINGS\USER\桌面\JHYYY\JHYYY.EXE
2007-07-12 00:59:28        C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\E_4\HTMLVIEW.FNE        C:\DOCUMENTS AND SETTINGS\USER\桌面\JHYYY\JHYYY.EXE
2007-07-12 00:59:28        C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\E_4\INTERNET.FNE        C:\DOCUMENTS AND SETTINGS\USER\桌面\JHYYY\JHYYY.EXE
2007-07-12 00:59:27        C:\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\E_4\KRNLN.FNR        C:\DOCUMENTS AND SETTINGS\USER\桌面\JHYYY\JHYYY.EXE
2007-07-12 00:58:34        C:\DOCUMENTS AND SETTINGS\USER\桌面\JHYYY\JHYYY.EXE        C:\PROGRAM FILES\WINRAR\WINRAR.EXE

[ Last edited by 408983504 on 2007-7-12 at 12:12 ]
附件 1: QQ截图未命名.jpg (2007-7-12 11:49, 125.4 K,下载次数: 40)


作者: Legend     时间: 2007-7-12 12:21
您的文件已收到,我们会根据您提供的信息具体测试分析一下,谢谢您的反馈。
作者: zipkong     时间: 2007-7-12 14:12
好恐怖哦。。。。。。。。。看来树大招风
作者: 干虾米哟     时间: 2007-7-12 15:21
超版可以加那个黑客的Q啊!问问他是咋整的不就得了?
作者: qq2008444     时间: 2007-7-12 15:40


  Quote:
Originally posted by 干虾米哟 at 2007-7-12 15:21:
超版可以加那个黑客的Q啊!问问他是咋整的不就得了?

你认为对方会说吗
作者: 反黑先锋     时间: 2007-7-12 16:47
第一次ok   后来进行了第
次测试  还原系统后开机运行 微点除了防火墙提示 其他却无任何反应 见18楼截图  bug:lol:

HKCU\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS\ RUN  C:\PROGRA~1\COMMON~1\ATION\JHYYY.EXE





[ Last edited by 反黑先锋 on 2007-7-12 at 18:27 ]
作者: Legend     时间: 2007-7-12 16:57
反黑先锋
请将您的被报警文件和微点目录下的MP6文件夹压缩发virus@micropoint.com.cn,随信附带本帖链接,谢谢。

[ Last edited by Legend on 2007-7-12 at 17:01 ]
作者: 反黑先锋     时间: 2007-7-12 17:25


  Quote:
Originally posted by Legend at 2007-7-12 16:57:
反黑先锋
请将您的被报警文件和微点目录下的MP6文件夹压缩发virus@micropoint.com.cn,随信附带本帖链接,谢谢。

[ Last edited by Legend on 2007-7-12 at 17:01 ]

刚又运行了一次 微点无任何反应  MP6截图已发给virus  我得换密码了。

[ Last edited by 反黑先锋 on 2007-7-12 at 17:26 ]
作者: Legend     时间: 2007-7-12 17:43


  Quote:
Originally posted by 408983504 at 2007-7-12 11:19:
样本已通过消息发送下载连接
此病毒太厉害,希望!望大家不要乱试


MP6文件夹已经发送!!!
请查收

[ Last edited by 408983504 on 2007-7-12 at 11:50 ]

谢谢您的及时反馈,您提交的样本文件我们已经收到,经过测试分析
setup.exe属于木马程序
程序运行后自动生成c:\winnt\system32\winlogo.exe文件->并修改注册表加载services自启动项
微点主动防御软件成功拦截,提示延迟删除,重启系统后,处理成功(修复了病毒修改的注册表,病毒文件被删除到微点有害程序隔离区中)。
作者: 反黑先锋     时间: 2007-7-12 18:13


  Quote:
Originally posted by Legend at 2007-7-12 17:43:


谢谢您的及时反馈,您提交的样本文件我们已经收到,经过测试分析
setup.exe属于木马程序
程序运行后自动生成c:\winnt\system32\winlogo.exe文件->并修改注册表加载services自启动项
微点主动防御软件成 ...

:D不是这支吧  

微点有时候报 有时候不报:
tp://www.live-share.com/files/241580/jhyyy.rar.html
作者: gatpone     时间: 2007-7-12 18:17


  Quote:
Originally posted by 反黑先锋 at 2007-7-12 18:13:


:D不是这支吧  

微点有时候报 有时候不报:
tp://www.live-share.com/files/241580/jhyyy.rar.html

会不会是装其他杀软的原因
作者: 反黑先锋     时间: 2007-7-12 18:20
放图吧 与12楼的第一次运行比较   第2次重新开机后 运行不报见下图  MP6前面已发。

有害程序尝试添加进微点的可信名单 不删除选放行!









微点主动防御软件  预升级
程序版本: 1.2.10570.0156
特征版本: 1.6.377.070710
更新时间: 2007-07-10 17:09:12

[ Last edited by 反黑先锋 on 2007-7-18 at 20:52 ]
作者: 反黑先锋     时间: 2007-7-12 18:30


  Quote:
Originally posted by gatpone at 2007-7-12 18:17:



会不会是装其他杀软的原因

微点实时监控  下回我会把安全软件全部御载掉再进行测试

ps 可能我这已经发生泄密 密码已全部修改。
作者: gatpone     时间: 2007-7-12 18:35


  Quote:
Originally posted by 反黑先锋 at 2007-7-12 18:30:


微点实时监控  下回我会把安全软件全部御载掉再进行测试

ps 可能我这已经发生泄密 密码已全部修改。

用的影子还是Sandboxie之类的?
作者: 408983504     时间: 2007-7-12 21:24
希望微点把这病毒解决掉!!!
作者: zipkong     时间: 2007-7-12 23:30
有没使用诸如卡巴、NOD之类的勇者下载这个木马试验下啊?
作者: swordkin     时间: 2007-7-13 00:33
反正我是不敢试啊!
^_^
作者: qq2008444     时间: 2007-7-13 09:20


  Quote:
Originally posted by zipkong at 2007-7-12 23:30:
有没使用诸如卡巴、NOD之类的勇者下载这个木马试验下啊?

我倒是想试试来着的
密码全改了:(
不过下载后卡巴有报毒

[ Last edited by qq2008444 on 2007-7-13 at 09:23 ]
附件 1: 4.JPG (2007-7-13 09:23, 7.51 K,下载次数: 51)


作者: kangbingzhen     时间: 2007-7-13 17:42
看来此病毒真厉害啊,真是树大招风。
作者: 100000     时间: 2007-7-13 18:38
郁闷,怎么我喊的时候没人理我。。。;)
作者: haizi     时间: 2007-7-13 18:45
版主,真是厉害啊。...
          我这病毒这么快就杀出来了....只不过我现在又换个一种免杀。
相信您不会杀出来的噢!
作者: Legend     时间: 2007-7-13 18:47
您可以把您的病毒样本压缩加密发到virus@micropoint.com.cn我们具体测试分析下。
作者: wkwx     时间: 2007-7-13 18:48


  Quote:
Originally posted by haizi at 2007-7-13 06:45 PM:
版主,真是厉害啊。...
          我这病毒这么快就杀出来了....只不过我现在又换个一种免杀。
相信您不会杀出来的噢!

哦,可以提供一个试试吗?
作者: haizi     时间: 2007-7-13 19:03
超级版主....您也是重庆的吧!
我是重庆的 您自己加 我QQ.
您自己分析 我难得发邮箱 QQ 号:408453578
作者: Legend     时间: 2007-7-13 19:06
谢谢您的支持与合作,抱歉公司规定我这里是不可以接收病毒的样本,麻烦请发到virus@micropoint.com.cn我们收到您的邮件后会及时测试分析,并给您回复的。
作者: haizi     时间: 2007-7-13 19:13
那么 就算了.....
                                  我告诉你吧.
我朋友有微点刚才 我把刚做好的免杀。.
  结果  免杀成功..   !都没有报毒,可以上线.嘿嘿!
作者: Legend     时间: 2007-7-13 19:31
您所说的上线是否指远程控制登陆到对方桌面,微点软件对于此类行为的恶意程序,可以通过行为判断自动识别并拦截;
希望能够得到您的配合,把您的原始样本压缩加密发到virus@micropoint.com.cn我们具体测试分析下,看是否微点软件在行为判断方面存在潜在的问题。如果确实存在问题,我们会及时分析改正,并及时升级,为用户提供更安全的保护。
作者: zipkong     时间: 2007-7-13 20:36


  Quote:
Originally posted by qq2008444 at 2007-7-13 09:20:

我倒是想试试来着的
密码全改了:(
不过下载后卡巴有报毒

[ Last edited by qq2008444 on 2007-7-13 at 09:23 ]

老大,你怎么设置的?怎么我昨晚下载了没反应,扫描也没反应?我是卡巴6.0.2.621,病毒库是12号的,大概是下午6:00左右的病毒库吧,郁闷了,不会是试用版的缘故吧?不是说功能一样的么?
作者: 反黑先锋     时间: 2007-7-13 20:38


  Quote:
Originally posted by haizi at 2007-7-13 19:13:
那么 就算了.....
                                  我告诉你吧.
我朋友有微点刚才 我把刚做好的免杀。.
  结果  免杀成功..   !都没有报毒,可以上线.嘿嘿!

;)你的样本和微点可能都有bug存在

你发我试 ebayterry@126.com
作者: haizi     时间: 2007-7-13 23:20
我难得去发什么邮件..!
                      比较懒!
作者: Hell     时间: 2007-7-14 00:49
不是吧~~~~~
作者: wangmark     时间: 2007-7-14 11:57
又是一个炒作的家伙,你怎么不当易建联呢,强烈鄙视
作者: haizi     时间: 2007-7-14 15:42
用行动证明自己......
                  自己加我QQ **。
   还说***  BY:HAIZI!  408453578

[ Last edited by Legend on 2007-7-14 at 15:47 ]
作者: 天道酬勤     时间: 2007-7-14 16:16
haizi,你发给我的没有过微点,解压缩微点没报,但是运行后微点马上报发现未知木马,所以你所谓的过微点不成立,只是过了微点的特征码扫描,但是没有能过微点的行为判断啊。

我是点饭,所以要维护下微点的利益,证明微点没有被你的东西过,帖图为证,不过我们还是朋友,等真的有过微点的东西的时候,还要发给我哈。
附件 1: 未命名.JPG (2007-7-14 16:16, 20.95 K,下载次数: 58)


作者: dsl5     时间: 2007-7-14 16:58
很正常拉,过微点的病毒虽然很少,但不等于没有,但是400个样本杀了360个,这个结果已经很不错了,卡巴才310呢!
作者: taster     时间: 2007-7-14 18:23
这个帖子有点精彩哦,顶级来,黑客努力,微点加油!
作者: qq2008444     时间: 2007-7-14 20:50


  Quote:
Originally posted by zipkong at 2007-7-13 20:36:


老大,你怎么设置的?怎么我昨晚下载了没反应,扫描也没反应?我是卡巴6.0.2.621,病毒库是12号的,大概是下午6:00左右的病毒库吧,郁闷了,不会是试用版的缘故吧?不是说功能一样的么?

我卡巴6.0.1.411
病毒库12日的
正式授权许可
许可给一台计算机
作者: haizi     时间: 2007-7-15 00:55
那人真不够意思....!
                          切。
作者: jaber     时间: 2007-7-15 01:12
到底是真还是假?

我都是云里雾里的!
作者: shjywxz     时间: 2007-7-15 14:16
树大招风。针对某杀软而设计的病毒能过某杀软那很正常,程序大了,难免有漏洞。
作者: 苹果小柚子     时间: 2007-7-15 16:18
。。。拜托。。。      运行后微点不报才叫过

你几吧弄个病毒文件就叫它报     不报就叫过微点  ?、

那我电脑保存的几十个样本岂不是全过了?

。。。靠。。。 欺骗我感情 以为现在真的有这样本呢
作者: 梦幻家园     时间: 2007-7-15 18:18
震惊 →糊涂
作者: qq2008444     时间: 2007-7-15 19:55


  Quote:
Originally posted by 梦幻家园 at 2007-7-15 18:18:
震惊 →糊涂

你应该改成这样:震惊 →糊涂 →晕菜:D
作者: zhouxiaohei168     时间: 2007-7-15 23:48
汗,我要是遇见这样的话,我觉得马上重新装系统,每个盘格他几十次,呵呵
作者: 干虾米哟     时间: 2007-7-16 11:46
楼上好BT!
作者: 青豆     时间: 2007-7-16 21:51
这么强的东东,正常行为下的入侵???
作者: phoenix365     时间: 2007-7-17 20:57
还是同意 反黑先锋 的观点,如果是从本机访问外面的网络,微点都会有提示说 某某程序试图访问 远端IP地址,LZ安全方面的意识还不够,看你的截图,这些东西都防在桌面上的,是你自己下载的还是什么?难道你在测试病毒?不过那几个生成的FNE文件很小见,居然还是病毒。
作者: han     时间: 2007-7-18 13:31
过微点?不容易吧。
不过有远控软件仍能关闭同一局域网内安装有微点的电脑,屡试不爽,不过就两台可以,而恰好能控的两台都是装了微点。远程关机虽不算病毒,但微点还是应该提示一下撤,比如说“你的电脑受到远端控制即将关闭,请保存数据并注意安全”

又发现了一台(这台未装微点),能控比例达到 3/10

[ Last edited by han on 2007-7-18 at 13:35 ]
作者: Rokit     时间: 2007-7-18 14:29


  Quote:
Originally posted by han at 2007-7-18 13:31:
过微点?不容易吧。
不过有远控软件仍能关闭同一局域网内安装有微点的电脑,屡试不爽,不过就两台可以,而恰好能控的两台都是装了微点。远程关机虽不算病毒,但微点还是应该提示一下撤,比如说“你的电脑受到远端 ...

不知是在什么防火墙规则下操作的?规则5条件下是不可能的
作者: blackangelzw     时间: 2007-7-18 22:39


  Quote:
Originally posted by taster at 2007-7-14 18:23:
这个帖子有点精彩哦,顶级来,黑客努力,微点加油!

我靠~!你唯恐天下不乱呀!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn