Board logo

标题: 请斑竹看看这是什么病毒 微点没有拦下 [打印本页]
作者: cucdzgb     时间: 2008-9-18 11:54    标题: 请斑竹看看这是什么病毒 微点没有拦下

情况是这样的:
昨天(17号)我用u盘从别人那拷文件到我机器上,文件夹名字叫“中建院9.26”,但是u盘中同时出现了数个隐藏文件,有一个是“中建院9.26.exe”,还有几个“_auto.*”(*记不清是什么了)。
我知道是有病毒,想看看微点拦截能力,我运行了“中建院9.26.exe”,微点拦截16个多未知木马,并把文件夹“中建院9.26.exe”及另外几个带有“auto”的文件夹删除了;360也同时拦截了两个。 至此,我想微点还是挺强的。一直没关机到晚上十点多,这中间我重新安装过另外一个软件(几天前安过的,昨天<17号>卸掉了,这个应该不会出什么问题)。
今天(18号)早上开机,问题出现了,开机自动出现了用户登录界面,出现一个新用户“administratr”,比“administrator”少了一个“o”,并且有密码。  我之前都是用的管理员用户直接登录而不出现选择登录用户的界面的。后来我进安全模式管理员用户删除了那个假冒管理员的新用户。
作者: cucdzgb     时间: 2008-9-18 11:55
以下是病毒拦截历史截图:
作者: cucdzgb     时间: 2008-9-18 11:57
以下是病毒拦截历史截图:
附件 1: mp副本.jpg (2008-9-18 11:57, 203.46 K,下载次数: 45)


作者: cucdzgb     时间: 2008-9-18 11:58
360的
附件 1: 360副本.jpg (2008-9-18 11:58, 104.12 K,下载次数: 49)


作者: Legend     时间: 2008-9-18 12:02
感谢楼主反馈
请问楼主是什么操作系统?
请楼主将此样本和技术支持信息(辅助功能--生成技术支持信息)发送到support@micropoint.com.cn 邮箱,发送时请将本帖连接一并发送,我们分析下。
作者: 外野孤鸿     时间: 2008-9-18 12:03
关注一下,现在微点出名了。攻击就多了很多。呵呵
作者: cucdzgb     时间: 2008-9-18 12:56
我的操作系统是XP Professional 2002 SP2。 GhostXP_SP2电脑公司特别版本:8.0。
        技术支持信息已经发送到邮箱。
        PS:版主回应很速度。谢谢
作者: cucdzgb     时间: 2008-9-20 09:56
究竟怎么处理呢?
今天刚开机,又重复了昨天的一幕,放置了一晚上,重新出现了一个“administratr”帐户,带密码。
我的处理仍是cmd——net user——net user administratr /del。
机器先用着,希望能赶快找出解决办法
作者: Legend     时间: 2008-9-20 10:04
请联系群管理员:466248167,让他帮您远程分析下!
作者: cucdzgb     时间: 2008-9-21 13:24
昨天按照微点客服邮件的提示,我进行了以下操作:
    微点主界面>系统分析>系统自启动信息,在打开的窗中,找到如下两个文件Apaidi.sys 和svchost.exe -k netsvcs,单击鼠标右键选择“删除文件和启动项”将其删除。
今天开机没有再出现登录异常。问题得到解决。只是感觉开机速度稍显慢了一些。
谢谢版主Legend和客服人员。
希望微点快速成长,更加强大。
作者: Unknown_YSHSA     时间: 2008-9-21 13:42
个人认为
行为积累之后才判定是非正常程序
在累计到判定结果之前的操作
除了能删除生成的文件之外
希望能增加修改操作积累
在行为判断到是非正常程序后能回滚到修改之前
个人认为还需要改进
作者: cucdzgb     时间: 2008-9-22 08:28
汗!今天又出现状况了。仍然是“administratr”这个帐户……
要是还不行,我要恢复系统了。
作者: Legend     时间: 2008-9-22 09:13
请楼主联系微点软件技术交流群管理员qq:383154254或466248167帮您具体分析下。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn