微点交流论坛

标题: 微点你终于不灵了... [打印本页]

作者: ksctive 时间: 2008-11-14 08:55 标题: 微点你终于不灵了...

用微点数月，也算是点饭了，记得当初还在深度微点区发过个帖子说微点可阻止NOD32查不到的病毒，而且还给文章还被评分了。
本人就是搞计算机的，所以在防毒意识上面还是很好的，当初只有一个风云防火墙在网上奔也几乎不会中毒，现在装了微点可以说中毒概率更小了。
微点的主动防御可以说确实解决了杀毒软件病毒库滞后问题，也就是说可以在一个新病毒诞生的时候不必有很多用户成为受害者之后才能有解决方法，我想这也是为什么我喜欢微点，大家喜欢微点，国家扶持微点的原因。
但是这两天，微点终于不灵了....
前两天我在深度看见个清理系统垃圾的批处理，比较感兴趣，于是改了改自己也用了一下http://hi.baidu.com/ksctive/blog ... 0aa9169213c676.html
结果还是被这个批处理误删了东西---打印机驱动。
你问我为什么我也不知道，我看了一遍也没见着删除打印机驱动的命令（删除inf里面文件导致？怀疑），除了删除了打印机驱动，机子在玩游戏时也有问题，因为在浩方玩魔兽会玩到一半错误，窗口关闭...害得我掉线...
于是用ghost恢复了系统...:(
驱动问题解决，但是发现玩游戏时的问题还是存在，而且上网也会假死（一阵一阵的，就是一卡一卡的意思），还经常弹出
---------------------------
svchost.exe - 应用程序错误
---------------------------
应用程序发生异常 unknown software exception (0xc00000fd)，位置为 0x5fde8809。

要终止程序，请单击“确定”。
要调试程序，请单击“取消”。
---------------------------
确定取消
---------------------------

这是我当时复制的，没有截图。一旦出现这个错误可以说就只有硬重启了，因为所有的操作都会失灵。我曾以为是软件不兼容了，但是后来否定了。
还有，有时会发现system32里面有A.exe（L.exe）病毒...而且不定什么时候，我在浩方游戏时弹出这个就会直接导致假死机，魔兽界面还有，但是不能操作，鼠标在实际桌面，但是看不见桌面...

于是再次恢复系统...让后故障依旧...
于是怀疑病毒修改了我的备份文件，导致备份里面都含有病毒...
闹大了...
昨晚想给老爸在网上买双皮鞋，结果重启了4次都没能看完5双皮鞋，所以一气之下关机想着今天到微点来讨个说法。以下是我对此病毒的观察：

svchost文件产生A.exe和L.exe很明显是病毒，也就是说某些带马的dll文件被加入了其中，但是微点只在他产生病毒时才报毒，对其中加载的dll木马却不闻不问。

svchost很明显连出到某个IP地址（此IP当然不固定）...微点不怀疑？

木马日志...

溢出日志...

网络入侵...这是今早的,不知是否有关联？还是巧合

报毒....

快点儿解决吧........

作者: Legend 时间: 2008-11-14 09:13
请问您的微点具体版本是什么？（微点主界面-->辅助功能-->关于-->复制）

请楼主先将系统补丁08-067安装上，然后重启系统，再将微点的技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到我们support@micropoint.com.cn 邮箱，随信请附带此贴链接。

您也可以直接联系我们在线管理员（QQ:466248167或383154254），让他们给您在线分析一下。

作者: hanker 时间: 2008-11-14 09:24
别着急，别上火，打完补丁杀毒即可

作者: cp0577 时间: 2008-11-14 09:54
是你备份的系统有问题吧

作者: ksctive 时间: 2008-11-14 09:59
我已查明是扫荡波病毒........

程序版本： 1.2.10576.0036
特征版本： 1.6.911.081113
更新时间： 2008-11-13 15:51:46

作者: ksctive 时间: 2008-11-14 10:00

Quote:

Originally posted by hanker at 2008-11-14 09:24:
别着急，别上火，打完补丁杀毒即可

都写明了微点查不出来还杀毒.....?

作者: 点饭的百度空间 时间: 2008-11-14 10:08
清理系统垃圾的批处理不能相信会搞坏系统的测试过ms08067扫荡波微点能主动防御你的系统sp2还是sp3

作者: hanker 时间: 2008-11-14 10:12

Quote:

Originally posted by ksctive at 2008-11-14 10:00:

都写明了微点查不出来还杀毒.....?

更正你一点，那是由系统漏洞进来的，如果微点把你SVCHOST删了，你系统咋启动？

作者: 心随风落 时间: 2008-11-14 10:24
怎么是576的版本

作者: fqbasedebug 时间: 2008-11-14 14:26

Quote:

Originally posted by hanker at 2008-11-14 09:24:
别着急，别上火，打完补丁杀毒即可

这样的回复。我有点质疑打完补丁杀毒即可，这句话根本没起到回复本贴的意义是一个无意义的回复，请问，如果大家单用微点怎么能起到杀毒作用微点又没有扫描作用，哎。。。。。。看来您的回复有点不够热心呵呵

作者: kele13 时间: 2008-11-14 16:00
是啊，按照楼主的介绍，那么微点的主动防御功能是不是没作用了?

作者: yurong7777777 时间: 2008-11-14 23:04
人家只是反映个情况，有没有大家看一下吧，不要过激

作者: chuankou1022 时间: 2008-11-15 10:26
我也碰到类似的情况。我的系统是xp sp2。发生时间08年11月13日。
svchost.exe生出L.EXE，主动防御后，清除L.EXE。但过了十几分钟后，不能上网了。本想截图证明，但回复中，不会（=. =）|||

之后把“漏洞扫描”中的能装的补丁，都打上了，估计用了370m左右的空间。到目前为止，不能上网的问题，没有出现。继续观察查中……

看上去，从系统漏洞进来的，主动防御，还是有那么点防不胜防的。

作者: threeswords 时间: 2008-11-15 10:41
我晕下载下来的木马微点都已经给你杀了，hanker版主说的很清楚了，svhost是个系统文件，是在微点的白名单里面，用于执行DLL文件，很多程序都需要用到，连接网络是再正常不过的事情了，他只是个被利用的而已。删除了它，你系统就废了。

如果是个木马下载器，由于其不在微点的白名单里面，微点只要能追溯到，一般会提示删除。

至于08-067漏洞，日志里很明显说明，溢出攻击和网络攻击被微点处理。你需要做的就是打好补丁，不打上补丁，你的机子还会受到攻击

作者: threeswords 时间: 2008-11-15 10:51
基于系统本身的漏洞当然是很危险的（现在基于第三方软件的漏洞也一样很危险，比如早些时候的FLASH漏洞），一旦溢出成功，就可以拿到管理员权限，以前的冲击波只是让你关机，现在漏洞的溢出攻击直接植入恶意代码，可以直接连接到网络，下载病毒木马，类似于木马下载器。

这对于传统特征查杀的杀毒软件来说，是致命的，因为下载下来的病毒木马一般都是最新的，基本上都还没有入库。对于带有动态启发或者主动防御的杀毒软件来说，情况要好点，虽然漏洞在，但是下载下来的病毒木马可能可以被拦截。

所以说，早几年前你可以对系统漏洞不在乎，但是今天不行了。Oday攻击已经逐渐流行，及时打上系统补丁可以减少你80%的中毒概率。

作者: 费尔不错 时间: 2008-11-15 23:06
如果微点能查杀所有毒，那不是卡巴天下了！

作者: xiaotuzi 时间: 2008-11-16 12:39
就是不打补丁！微点也能很好的主动防御了！

作者: yurong7777777 时间: 2008-11-16 17:44
微点也是有一定的缺陷的

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn