标题:
怪哉
[打印本页]
作者:
han
时间:
2007-11-13 09:36
标题:
怪哉
家用电脑未上网,安装的是微点071101(简称MP),娱乐用。
昨晚,MP提示有病毒并选择删除(U盘上带入的)。
为安全起见,迅速重启电脑并到PE系统下隐藏除C外的其它分区,然后再次登录XP系统,自动打开资源管理器。手动删除启动项中的病毒和伪回收站文件夹以及根目录下的一个批处理(内容近似BOOT.INI,与以前大不相同),按照MP日志,将有生成程序的后台程序全部删除(Explorer除外),满以后问题解决了,重启后MP无任何提示并处于正常运行状态。发现:
1、进程中新增wuauclt(以前没有,既没上网又禁止自动更新)
2、最怪的现象——以前下载的3D动画(每个64K,号称30000:1压缩率的那种)共600K多,这些动画放在U盘的一个文件夹内,距今两月前用Wimtool备份该U盘WIM包(有MD5),现用WIMTOOL解开,其它文件正常,此类动画体积起先600多K,1秒钟后迅速变为30M多,按不可写方式挂载后将其RAR打包到桌面(约670K),解压此包后体积先为600K多,转瞬变为31M多;用WINHEX逐一打开挂载的每个动画也是64K,另存到桌面会立即变为1.3M-17M(体积有变化者不能运行,提示非有效32位程序)。重启电脑N次(包括PE系统下)情况一样。将挂载的动画文件夹RAR包复制到优盘(约600K多)在办公电脑上解压,体积完全正常并可运行。
怪而近乎灵异,稍后有空再试一次并抓图留证。
作者:
wantcm
时间:
2007-11-13 09:52
让微点解决病毒多好,省事省力,自己手动查毒还容易误操作,得不偿失。
作者:
han
时间:
2007-11-13 09:56
版主眼睛朝上,没看清楚说。
作者:
han
时间:
2007-11-13 10:02
因为昨天太晚没作最后验证。如第2条属实,应该说的确有病毒过微点的病毒(非“小猪/AUTO”类)只是现在就是未找到幕后黑手
作者:
Legend
时间:
2007-11-13 10:38
谢谢楼主的反馈,请将可疑的文件(如wuauclt,最好附上文件的具体路径)和微点的技术支持信息压缩后发送到
support@micropoint.com.cn
邮箱,并简要说明情况,我们具体进行测试分析,谢谢您对微点的支持。
注:1)生成技术支持信息的操作: 微点主界面-->辅助功能-->生成技术支持信息。
2)发送时请在邮件中注明本帖链接,并在发送后请将您的邮箱地址通过论坛短消息发给我,便于我们及时跟踪处理。
http://bbs.micropoint.com.cn/pm.asp?action=send&uid=77
作者:
han
时间:
2007-11-13 11:01
谢谢超版。待晚上有空再看那现象是否依然,明天上报情况。
作者:
诶吃肉丸
时间:
2007-11-13 15:17
微点也不能那么完美啊,可以理解了,也是病毒太多太厉害了。
作者:
庄周梦蝶
时间:
2007-11-14 16:22
wuauclt.exe是Windows XP的自动更新进程。好象XP开启自动更新到某个时候就会出现“你是盗版软件受害者”提示,这个提示就跟它有关系,严格说起来这个程序的行为应该算是病毒行为。
百度可以搜索到解决方案。我的解决办法是关闭系统自动更新功能,用安全卫士来扫描漏洞并打上补丁。
作者:
han
时间:
2007-11-14 16:50
Quote:
Originally posted by
庄周梦蝶
at 2007-11-14 16:22:
wuauclt.exe是Windows XP的自动更新进程。好象XP开启自动更新到某个时候就会出现“你是盗版软件受害者”提示,这个提示就跟它有关系,严格说起来这个程序的行为应该算是病毒行为。
百度可以搜索到解决方案。我的 ...
已传超版。
接近找到元凶了,大概是一个**PE.SYS在作怪,它能同微点一道启动并感染微点的部分程序,如果间接中止它,便立刻蓝屏或象按电源一样瞬间关闭系统。该病毒在PE系统中依然运行ING……
作者:
Legend
时间:
2007-11-14 17:04
发送后请您将邮箱通过
论坛短消息
发给我,以便我们及时跟进处理,谢谢。
作者:
han
时间:
2007-11-15 13:52
Quote:
Originally posted by
han
at 2007-11-14 16:50:
已传超版。
接近找到元凶了,大概是一个**PE.SYS在作怪,它能同微点一道启动并感染微点的部分程序,如果间接中止它,便立刻蓝屏或象按电源一样瞬间关闭系统。该病毒在PE系统中依然运行ING……
总结一下(说心得也可)
1、中毒所致(为安全不写名称)
2、病毒主要是改写EXE、DLL、OCX文件,将EXE改成CMD可避免被修改。
3、中毒后的程序有些可以运行,但会释放病毒;有的废掉
4、微点071101不阻止该病毒的改写行为,不报警。但执行已中毒的程序会提示
5、Windows Vista 能较好的阻止该病毒
6、微点自身也被感染不成立,但在PE系统下就另当别论了
病毒可能肃清(或在潜水),在VISTA下无程序异常增大现象,只是原来的好些软件只得忍痛割爱。希望微点早日集成扫描功能
作者:
han
时间:
2007-11-20 18:01
测试ING?
这是微点值得重视的一个病毒!!!
1、微点监视下病毒肆意修改EXE程序,致使此类程序无法运行,微点不予阻止也不提示(行为判断似乎没有作用)。
2、该病毒扰乱了微点的工作秩序,致使很多正常的程序频频报可疑,而这些程序在未中此毒的机子上能正常,同期微点无任何提示。简言之,就是该病毒让微点草木皆兵(可能特征码自提取的负作用)。
作者:
微点专家
时间:
2007-11-20 18:03
这贴建议转到 病毒区
超版帮忙解决
作者:
norman6810
时间:
2007-11-20 18:05
Quote:
Originally posted by
微点专家
at 2007-11-20 18:03:
这贴建议转到 病毒区
超版帮忙解决
坚决赞同,大家要保持水区的纯洁啊!!
作者:
微点专家
时间:
2007-11-20 18:17
Quote:
Originally posted by
norman6810
at 2007-11-20 18:05:
坚决赞同,大家要保持水区的纯洁啊!!
这个…………
作者:
norman6810
时间:
2007-11-20 18:21
Quote:
Originally posted by
微点专家
at 2007-11-20 18:17:
这个…………
曲解了专家的意见?
作者:
微点专家
时间:
2007-11-20 18:23
Quote:
Originally posted by
norman6810
at 2007-11-20 18:21:
曲解了专家的意见?
那个…………
作者:
透明的水
时间:
2007-11-20 18:30
Quote:
Originally posted by
norman6810
at 2007-11-20 18:05:
坚决赞同,大家要保持水区的纯洁啊!!
有我在那,还不怕水区不纯净?~
作者:
微点专家
时间:
2007-11-20 18:31
Quote:
Originally posted by
透明的水
at 2007-11-20 18:30:
有我在那,还不怕水区不纯净?~
就是就是
作者:
透明的水
时间:
2007-11-20 18:35
Quote:
Originally posted by
微点专家
at 2007-11-20 18:31:
就是就是
嘿嘿~:D
作者:
微点专家
时间:
2007-11-20 19:05
Quote:
Originally posted by
透明的水
at 2007-11-20 18:35:
嘿嘿~:D
哈哈
作者:
han
时间:
2007-11-23 17:57
此贴是应该发往反病毒区,主要考虑到会引起较多的关注,怕别“坏人”放大,一直在水区讨论,病毒样本、日志报告、中毒过程等均在10天前传给超版,至今无回音,关键的是其它任何一款杀软都能抵御且修复被感染者。
体会自知,最后一复。该病毒即Rootkit病毒,转抄部份讨:
==================================
Rootkit
在AV变种中,发现一个木马群使用这个(Rootkit)技术,是7位随机病毒带来的,并实现三进程守护!
这个技术在木马界更多的是应用在隐藏上,最典型的应属灰鸽子(也可能是Hook),一个合格的RK可以
让属于自己的文件(包括进程)人间蒸发。最常见的是修改枚举进程API,使API返回的数据总是“遗漏”(病毒)自身进程的信息,那么在进程里当然就不能发现了。也有一种类似的技术,通过抹杀“进程信息表”的自身信息进行隐藏。
从而也达到隐藏的目的,不过该技术设计上缺陷和平台的通用。
我们可以通过一些反RK的工具,居于RK的技术,反RK工具不一定能盖过对方,最好的方法只能预防。一些常用的反RK有偌顿的RootkitRevealer,IS、Gmer和AVG的Anti-RootkitFree。
作者:
Legend
时间:
2007-11-26 10:57
楼主非常抱歉,我们没有收到您所发的邮件,请您重新发送一下,谢谢您的合作。
作者:
Legend
时间:
2007-11-30 12:18
由于没有收到楼主进一步的反馈信息,本主题暂作关闭处理,如有问题,请另开新帖讨论
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
