微点交流论坛

标题: 郁闷的杀毒经历 [打印本页]

作者: dsl5 时间: 2008-2-29 15:44 标题: 郁闷的杀毒经历

今天同学跟我说机器可能中毒了，江民的界面打不开，于是决定过去帮它瞧瞧。
   进系统很慢，explorer.exe半天才打开，江民打开后马上关闭。。。总之问题多多，手杀看来杀不胜杀，干脆交给微点解决。
   连网，下微点，卸了江民以免冲突，然后安装注册升级，重启。。。。。
   重启后，进系统比原来还慢，explorer.exe无法自动加载，正准备任务管理器手动加载，微点就开始报警，删了15个已知木马和一个未知木马。
   手动新建explorer.exe，查看微点的综合信息中的进程，其他软件那栏干净，检查启动项，一大堆不明驱动，于是都干掉，检查模块，一大堆垃圾正在被系统加载，看来形势不容乐观，准备下个狙剑协助清理。。。。。
   就在这时候，问题出现了，微点报警一个未知木马，当然是删除了，结果删不去要延迟，然后提示重起，重起后比原来更慢，任务管理器也出不来，突然蓝屏！蓝屏显示的是微点的驱动，好象是14结尾。。。。内核冲突，不死也重伤
   继续重启，进去欢迎之后，弹出：userinit.exe无法运行接着弹出：taskmgr.exe无法运行，正常模式再也进不去，进去安全模式蓝屏。。。。。。
   弄了半天系统崩溃收场。。。。。干脆叫他删除C盘分区重装后装微点算了
   郁闷的杀戮，两败俱伤，没有胜利者。。。。不过大家不要以为系统杀崩了就不好，某杀软就是怕蓝屏而不去碰病毒的驱动这样更可恶！
   总结，微点很强大，杀气腾腾，只可惜没有提前在无毒环境下装，没有记录，导致了很多连带误杀，病毒已经加载驱动也一定程度影响了微点的发挥，病毒在杀之前就已经修改了系统并进行了破坏，这些临时装微点是无法弥补的。
给大家一点提醒就是最好在干净时就装微点，这样才能更好地保护你们的系统！

作者: freedom11 时间: 2008-2-29 16:03
LZ的经历比较丰富啊，不过没有保留现场实在是可惜啊，下次得记得先保留现场，再问问超版该怎么解决，这样才能让我们钟爱的微点发展迅速啊。

作者: dsl5 时间: 2008-2-29 16:15
原本我也想进去拿点样本的,隔离区的那些样本都发了,就是还没来的及打包那些驱动和dll,看来是疏忽了,没预料到重启动后会打架打到崩溃,如果预料到的话我就先不马上重启,算是吸取教训.........

作者: Legend 时间: 2008-2-29 16:17
十分感谢楼主的测试和反馈，以后遇到这种情况时，希望您能协助我们保持现场并及时联系我们，谢谢。

另外，微点没有以***14结尾的驱动文件，微点驱动文件从mp110000.sys~mp110013.sys 共14个驱动文件。

作者: dsl5 时间: 2008-2-29 17:00
对了,有办法,他还没重装系统,可以先在别的分区装多一个系统,由新装的系统进去,这样就可以把旧系统的那些样本弄出来...........

作者: 神秘人 时间: 2008-3-2 13:12
不会是机器狗吧

作者: tustin 时间: 2008-3-4 13:18

Quote:

Originally posted by dsl5 at 2008-2-29 17:00:
对了,有办法,他还没重装系统,可以先在别的分区装多一个系统,由新装的系统进去,这样就可以把旧系统的那些样本弄出来...........

用winpe也可以，更方便一些

作者: Legend 时间: 2008-3-6 10:44
由于没有收到楼主进一步的反馈信息，本主题暂作关闭处理，如有问题，请另开新帖讨论。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn