标题: viking病毒差点郁闷死我 [打印本页]

---

作者: augustheart     时间: 2006-9-12 09:33    标题: viking病毒差点郁闷死我

现在中招电脑在重装了。
中招的状况是很多_desktop.ini文件，然后无数exe被删除了，但是按照viking的特征完全找不到病毒本体，也就是说系统文件夹下的特征文件完全没有。装了卡巴斯基，装了微点。感染过程中两个都没有报错。:(

---

作者: Legend     时间: 2006-9-12 09:43
请问您的操作系统版本？
微点与卡巴的具体版本是多少？
请问您是如何知道被感染的？当时微点与卡巴的服务都是开着的吗？

---

作者: augustheart     时间: 2006-9-12 09:55
都是开着的。我自己杀木马之类的也有一定经验了，这个东西完全没有在启动项中找到，icesword和微点里面都找不到可疑进程，卡巴斯基是5.0的，具体版本不记得，不过应该不是冲突的那个。
个人怀疑是修改了某个系统文件了，这样才没法找到病毒本体，而除了_desktop.ini,其它的特征文件都找不到，我也是从这个文件以及篡改并删除我的EXE文件判断的。昨天晚上电脑转换点东西，所以一直开着，人不在。就在这过程中把我的转换软件中的几个EXE给感染了，几个本来没有图标的命令行EXE文件全部变成了winrar的图标……怀疑是viking的一种新的变种吧。为了避免对公司网内找成更大的问题，我早上赶忙把机器格式化了。所以没法提供任何样本之类的了，不好意思。
最近北京网通的adsl里面似乎又有病毒流传吧？

---

作者: undo     时间: 2006-9-12 12:14

Quote:

Originally posted by augustheart at 2006-9-12 09:55: 都是开着的。我自己杀木马之类的也有一定经验了，这个东西完全没有在启动项中找到，icesword和微点里面都找不到可疑进程，卡巴斯基是5.0的，具体版本不记得，不过应该不是冲突的那个。 个人怀疑是修改了某个系统 ...

昨天客户的电脑中了同样的病毒，由于条件限制没有使用微点试验查杀。
据观察病毒通过网页内嵌代码传播
kv2006无任何反映。木马防线2005+提示可疑进程，无法阻止感染。
病毒主体应是windir\system32\realplayer.exe

---

作者: Legend     时间: 2006-9-12 12:22
请把您的这个样本发到virus@mciropoint.com.cn我们具体测试分析下

---

作者: undo     时间: 2006-9-12 12:41

Quote:

Originally posted by Legend at 2006-9-12 12:22: 请把您的这个样本发到virus@mciropoint.com.cn我们具体测试分析下

不好意思，当时条件限制，并且客户急于恢复营业，没有保存病毒样本

这个是目前的热门病毒
baidu了一下有3万多

---

作者: undo     时间: 2006-9-12 12:52

Quote:

Originally posted by Legend at 2006-9-12 12:22: 请把您的这个样本发到virus@mciropoint.com.cn我们具体测试分析下

建议在查看微点隔离区列表时可以选择上传

---

作者: augustheart     时间: 2006-9-12 13:34
我的那个连realplayer也没有了，郁闷死我

---

作者: jaber     时间: 2006-9-12 15:09

Quote:

Originally posted by undo at 2006-9-12 12:52: 建议在查看微点隔离区列表时可以选择上传

谢谢您的建议　　我们会认真考虑的！

---

作者: undo     时间: 2006-9-12 16:13

Quote:

Originally posted by jaber at 2006-9-12 15:09: 谢谢您的建议　　我们会认真考虑的！

虽然实时监控策略中对未知病毒样本有三个选择
自动传送：大量重复样本撑暴你们的硬盘
智能询问：加速鼠标报废
不传送：懒人的选择

如果可以，我会使用不传送+手动上传样本

---

作者: crownnuky     时间: 2006-9-13 12:59
我的威金用avast杀掉了.

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn