Board logo

标题: [求助]发现病毒,卡巴却没反应,请教大家! [打印本页]
作者: mrkent     时间: 2006-12-20 20:23    标题: [求助]发现病毒,卡巴却没反应,请教大家!

发现病毒,卡巴却没反应,请教大家!
大家好!我使用卡巴有半年了,感觉它的监控能力和杀毒能力都是很好的,今天我的电脑发现病毒,我安装的是卡巴斯基 KIS 6.0.0.300却没报!病毒库也是最新的!希望大家给看看。
今天搜索一个软件,打开了网页:[url***]http://www.sf***.org.cn/Soft/app/tel/Index.html[/url]
我发现只要打开这个网站的任何一个网页,就会自己下载一个文件Thunder5.exe到C:\WINDOWS\system32并且自动运行它!如果你在这个网站浏览过十个网页,你的任务列表中会有十个它(图:TASKLIST)!而且进程中还有一个打开的syte.txt(图:syste.txt)。
根据我抓的图,我自己粗略分析了一下,很可能不对。只希望能起到抛砖引玉的作用!
Thunder5.exe会在C:\WINDOWS\system32生成一个文件syte.txt,这个文件内容是
-------------------------------------------
[url*]http://222.220.16.201/tianxia/ying*/3127.exe[/url]
[url*]http://222.220.16.201/tianxia/ying*/wow.exe[/url]
[url*]http://222.220.16.201/tianxia/ying*/kap.exe[/url]
[url*]http://222.220.16.201/tianxia/ying*/mhh.exe[/url]
[url*]http://222.220.16.201/tianxia/ying*/ztt.exe[/url]
[url*]http://222.220.16.201/tianxia/ying*/wll.exe[/url]
[url*]http://222.220.16.201/tianxia/ying*/rxx.exe[/url]
-------------------------------------------
也就是按照这个文件中的列表下载以上几个文件并且自动运行。
当我的卡巴只拦截了3127.exe后,我马上找到TEMP文件夹,发现上面几个文件,可能是由于生气,马上结束进程并删除了这几个垃圾!
后来想到我要到发贴求助,最好能提供几个样本,可是用迅雷却只能下载到MHH.EXE,其它的几个都下载不回来!
虽然用卡巴扫描却未检测到威胁,如图:未检测到威胁。但是我觉得这一定是不正常的!所以求助大家,请大家给分析一下!
说明一下:虽然卡巴没有报毒,我认为一定是!截止到我发贴,我的卡巴还是最新的病毒库!
最后想问大家几句话,大家觉得卡巴最近一段时间怎么样?我感觉它的表现很一般,前几天就中了病毒,机器特别的慢,老死机。最后没办法在论坛找了一个据说可以替代卡巴的一个杀毒软件,用了几天感觉还不如卡巴,又换回来了!
现在我的KIS 6.0可以正常的升级,就是偶尔会发生卡巴断开连接,重新连接一下就好了!
大家认为我在卡巴的配置方面有什么问题,请不吝赐教,希望能向大家多学习!

[ Last edited by Legend on 2006-12-21 at 08:25 ]
附件 1: Thunder5.JPG (2006-12-20 20:23, 144.02 K,下载次数: 34)


附件 2: TASKLIST.JPG (2006-12-20 20:23, 145.13 K,下载次数: 35)


附件 3: syte.txt.jpg (2006-12-20 20:26, 146.7 K,下载次数: 44)


作者: 榨菜     时间: 2006-12-20 20:31
楼主 您安装微点了吗?
作者: 反黑先锋     时间: 2006-12-20 21:11
;)楼主可以装微点试试。

[ Last edited by 反黑先锋 on 2006-12-20 at 21:21 ]
附件 1: sshot-1.png (2006-12-20 21:11, 22.9 K,下载次数: 72)


附件 2: sshot-2.png (2006-12-20 21:11, 25.32 K,下载次数: 43)


附件 3: sshot-3.png (2006-12-20 21:11, 65.67 K,下载次数: 32)


附件 4: sshot-4.png (2006-12-20 21:11, 43.27 K,下载次数: 66)


附件 5: sshot-5.png (2006-12-20 21:11, 47.83 K,下载次数: 57)


附件 6: sshot-6.png (2006-12-20 21:11, 20.08 K,下载次数: 49)


附件 7: sshot-7.png (2006-12-20 21:11, 47.5 K,下载次数: 46)


附件 8: sshot-8.png (2006-12-20 21:12, 20.16 K,下载次数: 34)


附件 9: sshot-9.png (2006-12-20 21:12, 48.88 K,下载次数: 37)


附件 10: sshot-10.png (2006-12-20 21:12, 18.61 K,下载次数: 35)


附件 11: sshot-11.png (2006-12-20 21:12, 23.17 K,下载次数: 26)


附件 12: sshot-12.png (2006-12-20 21:12, 20.59 K,下载次数: 36)


附件 13: sshot-1.png (2006-12-20 21:20, 19.38 K,下载次数: 57)


附件 14: sshot-2.png (2006-12-20 21:21, 20.06 K,下载次数: 26)


作者: Legend     时间: 2006-12-21 08:31
楼主的链接已经修改,请不要在论坛里发这种链接,以免其他网友误点;
您可以发到virus@micropoint.com.cn我们会具体测试分析。
作者: enterzx     时间: 2006-12-25 16:41
楼主,能把那个网页地址告诉我吗?
我想去看看
作者: flykiss     时间: 2007-1-2 20:48
微点厉害,快些加上对恶意软件的防护就完美了~~
作者: flo     时间: 2007-1-3 15:41
不知道是不是你卡巴主动防御的设置问题,在我这里OK:
2007-1-3 15:40:27        C:\Downloads\mhh.exe        Process is trying to register its copy as an autorun startup object. This behaviour is typical of Trojans.
2007-1-3 15:40:27        C:\Downloads\mhh.exe        Attempt to terminate process
2007-1-3 15:40:30        C:\Downloads\mhh.exe        Attempt to terminate process: successfully
2007-1-3 15:40:31        E:\DOCUME~1\aaa\LOCALS~1\Temp\mhs2.exe        Rollback
2007-1-3 15:40:27        C:\Downloads\mhh.exe        Rollback completed
作者: xhshgpy     时间: 2007-1-3 16:05
好厉害的微点哦。
作者: zhanggaozhige     时间: 2007-1-3 18:49
不错~有点历害~但任何东东都是在前进中发展~在发展中壮大~希望微点也是一样~



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn