Board logo

标题: 卡巴报微点相关文件中毒,清、删不除 [打印本页]
作者: han     时间: 2009-7-9 17:47    标题: 卡巴报微点相关文件中毒,清、删不除

如图所示,卡巴显然无法清除或删除,因为那是微点保护的项目。
我能不能把其中“中毒”的程序传1个上来分析?

相关信息:
XPSP3,除IE7外打完全部补丁,
MP是试用版(目前正常运行),绿KAV2009(作不定期扫描)
附件 1: Snap3.jpg (2009-7-9 17:47, 103.36 K,下载次数: 34)


作者: Legend     时间: 2009-7-9 17:55
建议楼主把微点软件安装目录下文件导出压缩加密发到virus@micropoint.com.cn我们具体分析下。(c:\progam files\micropoint目录和c:\windows\system32\drivers目录下的mp开头的.sys文件)
作者: wufeng     时间: 2009-7-9 17:57
楼主是啥时候装的微点啊?
作者: y0365     时间: 2009-7-9 17:58
楼主是怎么中的毒?感觉象微点的文件被感染了
你可以把微点服务停止后,再用卡巴扫描。
然后再重新下载新的安装包安装微点
作者: han     时间: 2009-7-9 18:23
微点已经安装17天了。
此时微点反复提示如下(PCE2F.TMP就是病毒本体):
==================
木马名称:未知后门程序

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\PCE2F.TMP
是木马程序!
已成功阻止其运行,是否要删除此文件?
==================
按默认“删除(推荐)”处理不掉。

在光盘PE系统要杀此毒并不难,我最想知道是不是真的感染微点了,从病毒感染现在,微点虽然多次提示可疑,但处于正常运行状态,该病毒能在微点的积极防御下感染全盘EXE文件,实在是牛。

微点主程序MPMAIN.EXE 的MD5值:DB7F06CD38D634E648AD153A506018FF
作者: Legend     时间: 2009-7-9 18:27
建议楼主把此报警文件导出连同2楼的相关文件一并发送邮件,我们具体分析下。
作者: han     时间: 2009-7-9 18:31


  Quote:
Originally posted by Legend at 2009-7-9 17:55:
建议楼主把微点软件安装目录下文件导出压缩加密发到virus@micropoint.com.cn我们具体分析下。(c:\progam files\micropoint目录和c:\windows\system32\drivers目录下的mp开头的.sys文件)

已发日志及“感染病毒”后的三个微点程序。敬请分析
作者: Legend     时间: 2009-7-9 18:33
请把您的邮箱地址用论坛短消息发给我,便于对您的问题的跟踪处理。
作者: han     时间: 2009-7-9 18:41


  Quote:
Originally posted by Legend at 2009-7-9 18:33:
请把您的邮箱地址用论坛短消息发给我,便于对您的问题的跟踪处理。

谢谢超版。
因是公用电脑,又比较忙,不想在此问题上逗留,准备GHO回去算了。
该病毒的主程序已经找到,如有需要,可传与分析。
作者: Legend     时间: 2009-7-9 18:44
建议您把病毒主程序连同微点技术支持信息及您所说的“感染病毒”后的三个微点程序一并发送,我们具体分析,谢谢。
作者: 真诚之约     时间: 2009-7-9 20:46    标题: 帮顶

帮顶一下,这个好厉害!:cool:
作者: 点饭的百度空间     时间: 2009-7-10 00:51
样本
作者: han     时间: 2009-7-10 08:57


  Quote:
Originally posted by Legend at 2009-7-9 18:44:
建议您把病毒主程序连同微点技术支持信息及您所说的“感染病毒”后的三个微点程序一并发送,我们具体分析,谢谢。

昨天6:30下班,今早上一来就到PE系统下用绿卡查杀掉病毒。

微点文件夹下的3个程序的确被感染了(已于昨天将其打包传到贵部),病毒本体就嵌在被感染文件由尾部返溯173K字节处。
卡巴在不受保护(停止微点服务的情况下)可以清除该病毒。

感染微点主程序大概是在重启系统后快显现桌面时假死,按快捷键调处任务管理器注销后正常进入系统,猜测就在系统假死时病毒写到微点程序中的。

卡巴清除病毒后 Clean.exe 40,960(大小)
卡巴清除病毒 Clean.exe 218,588(大小)

[ Last edited by han on 2009-7-10 at 08:58 ]
作者: han     时间: 2009-7-10 09:00


  Quote:
Originally posted by 点饭的百度空间 at 2009-7-10 00:51:
样本

这里不接收样本,但其实已于昨天传版主邮箱的三个被感染程序中嵌有病毒本体(算样本不?)

已传邮箱,密码是2个空格。

[ Last edited by han on 2009-7-10 at 09:07 ]
作者: Legend     时间: 2009-7-10 09:06
请楼主及时将您的邮箱地址通过论坛短消息告诉我,方便我们及时跟踪处理。
作者: han     时间: 2009-7-10 09:12


  Quote:
Originally posted by Legend at 2009-7-10 09:06:
请楼主及时将您的邮箱地址通过论坛短消息告诉我,方便我们及时跟踪处理。

抱歉,昨天较忙,打包时未加密,被EMAILL服务打回。

抱歉,您的邮件被退回来了……
原邮件信息: 时 间: 2009-07-09 18:29:25
   主 题: 病毒日志
收件人: virus@micropoint.com.cn
抄 送: xxx
密 送: yyy

退信原因: 未知退信原因
英文说明:Virus found
建议解决方案: 请联系管理员解决



----------------
This message is generated by COREMAIL email system.
您收到的是来自 COREMAIL 专业邮件系统的信件.

现重新传一个被感染的程序(只备份了这个,其余全给卡巴清除了)
作者: Legend     时间: 2009-7-10 09:15
请将该附件压缩加密后重新发送,并告知我您传送时使用的邮箱地址!
作者: han     时间: 2009-7-10 17:35


  Quote:
Originally posted by Legend at 2009-7-10 09:15:
请将该附件压缩加密后重新发送,并告知我您传送时使用的邮箱地址!

样本已于早上重新传到指定邮箱了,邮件中有本主题贴链接,邮箱随后。稍后,贵部已作邮件收到回复。
作者: 点饭的百度空间     时间: 2009-7-21 10:21


jehovah_king :
绿KAV2009
加载卡巴的驱动没?

尊敬的微点用户您好:

     您发送的这个文件Clean.exe是已被感染的文件,该文件里的数字签名是无效的,经我们测试,微点可以有效拦截处理,即使点放行也无法感染微点的程序。
    请使用最新版微点安装程序重装一遍您的微点并更新到最新版使用留意观察。    感谢您对东方微点公司的信任和支持!

    如果您还有其他疑问或者对微点的意见或建议,欢迎您通过E-MAIL、微点电子邮局、论坛与我们联系。   

微点官方网站:http://www.micropoint.com.cn 微点客服中心:http://service.micropoint.com.cn/
技术支持邮箱: support@micropoint.com.cn
样本上报邮箱: virus@micropoint.com.cn
微点电子邮局:http://service.micropoint.com.cn/mail.php
官方论坛: http://bbs.micropoint.com.cn
作者: 坐照     时间: 2009-7-21 11:53
也许装了两个杀软,才导致这样的问题。
作者: jack_ps_wang     时间: 2009-7-21 13:50
难道安装微点前,微点已经被感染?为何两方测试结果不同?诧异中。
作者: wsmurderer     时间: 2009-7-21 16:28
应该是安装微点前已中毒,安装微点重启之前微点被感染
作者: oksoft123     时间: 2009-7-27 12:39
应该是..不懂.
强.



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn