微点交流论坛

标题: 微点对付木马的能力有待提高。 [打印本页]

作者: 乖仔 时间: 2006-10-10 11:40 标题: 微点对付木马的能力有待提高。

最近经常发生浏览器被挟持的情况，主页被自动指向http://7b.com.cn/

原以为微点可以搞定，但装上后情况依旧。在起动时，发现有木马，日志如下：

时间处理结果木马名称木马进程名木马文件创建者
2006-10-10 11:11:50 删除木马文件失败未知间谍软件 C:\PROGRAM FILES\TENCENT\QQ\MESSENGER.EXE
2006-10-10 10:40:23 删除木马文件失败未知间谍软件 C:\PROGRAM FILES\TENCENT\QQ\UPDATEUI.DLL C:\PROGRAM FILES\TENCENT\QQ\MESSENGER.EXE
2006-10-10 10:40:23 处理成功未知间谍软件 C:\WINNT\SYSTEM32\MAXTHONZ.DLL C:\PROGRAM FILES\TENCENT\QQ\MESSENGER.EXE
2006-10-10 10:40:23 删除木马文件失败

而在注册表中主页一值被改为http://7b.com.cn/，实是IE本身所为。微点也拿她没办法。

此外，在注册表保护中，微点虽检测出主页被改，但每隔一秒钟又被IE改回来，微点就这样一直弹出询问，烦。

希望尽快改进。唉，我现在都在力劝朋友试用微点，如此真是不好交待啊。

作者: Legend 时间: 2006-10-10 11:50
您的情况可以在微点的注册表修复与保护里面把ie的主页修复锁定并保护；
您可以根据微点的注册表变更日志查找到具体是什么文件在修改您的主页；
关于那个木马您可以发到virus@micropoint.com.cn我们具体测试分析下；
您的情况也可以加入微点的技术交流群：16998902

作者: 曙光 时间: 2006-10-10 11:58
楼主可以通过微点的注册表修复对IE的主页先进行修复，而后再进行一下锁定，应该这样就可以了！

[ Last edited by 曙光 on 2006-10-10 at 11:59 ]

作者: 乖仔 时间: 2006-10-10 12:30
经检查，是有一文件，在IE同目录下，名为 IEXPL0RE.EXE，注意是 0 而不 O！

此文件我手工删除掉，并在注册表里 Shell 的值改回 IEXPLORE.EXE就可以了。

文件已删除，下回看见再传给你吧。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn