Board logo

标题: 微点的一次战果 [打印本页]
作者: smomo     时间: 2008-8-28 22:30    标题: 微点的一次战果

27日,上小学的儿子自己在家,下载了某作文网上的一个文件后(是可执行文件),生成了一系列的病毒,看下面的图片,可见战况之惨烈!

大家可以看看下面图片右上角的c:\windows\system32\IRFOKOYDNN.EXE,由于我的系统装在G盘上,整个C盘的系统都是下载的文件生成的,虽然微点经过一同厮杀,但还是漏网了一部分文件,也许其表现上没有什么问题,但是将驱动打开的方式挂到了这个文件上,这也是我回家后发现电脑有问题的起因,然后打开微点,发现了下午的战况。

上面的文件时不时还会生成新的文件,造成微点报警,从报警上我发现的异常,于是删掉了上述文件,但删掉后,驱动不能打开了,上网上找答案,修改了注册表,删掉dirver 的 open键值,然后在资源管理器中重新建立,系统恢复正常。

从这个案例,也进一步印证了微点的可靠之处,我的10岁的孩子对病毒并没有概念,微点报警时也不知道进行了什么操作,但微点还是把并破坏行为的文件删除了,也遗漏了看似没有问题的文件,看来该文件不直接对系统操作,而是生成一个新文件,该文件位于其他分区的某个数据文件的目录下,不知道怎么选的,然后调用,微点会对该调用报警。

但是删除我上面说的文件后系统的问题不能全面恢复,说明微点还要在系统的主要默认设置的恢复上补充一些手段。

问题解决完了,微点是否还遗漏了其他的有问题的文件呢,接着我又查看了系统文件生成日志,发现没有遗漏其他有问题的文件,本次防御基本是成功的。
附件 1: 调整大小 裁剪.jpg (2008-8-28 22:30, 216.37 K,下载次数: 55)


附件 2: 调整大小 裁剪_2.jpg (2008-8-28 22:30, 247.51 K,下载次数: 71)


作者: smomo     时间: 2008-8-28 22:31
剩余部分的生成日志:
附件 1: 调整大小 裁剪_3.jpg (2008-8-28 22:31, 225.72 K,下载次数: 38)


作者: smomo     时间: 2008-8-28 22:54
查系统自启动项,发现了一个新加项,看来是病毒用来自升级的,但文件已被微点删除了。

注意前面图中c:\windows\system32\IRFOKOYDNN.EXE生成的d:\钢结构参考\管廊\1~.exe就是open driver操作的调用文件。

[ Last edited by smomo on 2008-8-28 at 22:57 ]
附件 1: 裁剪.jpg (2008-8-28 22:54, 101.14 K,下载次数: 44)


作者: Legend     时间: 2008-8-28 22:59
谢谢楼主的反馈,请把您的病毒样本或者某作文网上的一个文件的下载连接连同微点软件辅助功能-生成技术支持信息导出复制到桌面压缩发到virus@micropoint.com.cn我们具体测试分析下。
发送完请把您的邮箱地址用论坛短消息发给我,便于对您的问题的跟踪处理。
作者: flair     时间: 2008-8-30 17:49
硕果累累啊……
作者: smomo     时间: 2008-8-31 15:17
有头有尾,传上上报后微点的反馈结果:

尊敬的用户,您好!
    您的邮件已经收到,感谢您及时联系微点客户服务人员!希望下面的邮件内容能够使您得到您所需要的帮助;根据您描述的情况及提供的信息,我们的技术工程师做了详细的测试与分析。详情如下:

               10048
                     10048.exe Trojan-Downloader.Win32.Agent.agvw
               
  mp\
1~.EXE :AdWare.Win32.AdMoke.afg
                     ABXEMOVC10048.BAK :AdWare.Win32.AdMoke.afg
                     PRTFILE.SYS Rootkit.Win32.Agent.bpg
                     PRTREGE.SYS Rootkit.Win32.Agent.bpq
                     SETUP901.EXE :Trojan-Downloader.Win32.Agent.agcc
                     WINSM49F.DLL AdWare.Win32.Pereban.b
            
tcpip.sys\
                     tcpip.sys.do 非病毒文件
        
Windows\
                     BEJNICMC.DAT: 非pe文件
QPZYIC.INI :非pe文件
IRFOKOYDNN.EXE :AdWare.Win32.AdMoke.aep
GUUYYICN.AAB :损坏文件
                     IHLKZZJZJOOEOE.DLL :损坏文件
                     UTNMRRGBBLA.DLL :非pe文件


            
  请等待微点的更新,感谢您的反馈。

注释:

PE文件:Win32环境下的可移植执行体。

已损坏的PE文件:经第三方程序修改或人为造成文件损坏。

非PE格式的病毒文件:泛指网页木马、脚本病毒、宏病毒、恶意代码等。

非病毒文件:不含有恶意代码的文件。
作者: chujl     时间: 2008-8-31 17:22
楼主可考虑设置采取自动处理方式。不排除你儿子手动确认时漏过病毒的可能
作者: smomo     时间: 2008-8-31 18:07
采纳楼上的意见,设置为自动处理。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn