微点交流论坛

标题: 我的微点被病毒给干掉了 [打印本页]

作者: ll1234 时间: 2009-12-6 14:58 标题: 我的微点被病毒给干掉了

昨天有个朋友拿了个优盘插我电脑上拷贝资料,事毕我发现微点不知道什么时候居然退出了.点击桌面微点图标提升微点启动失败. 马上进计算机管理查看微点服务,日,居然被删除了!在进其他磁盘发现多了很多文件! 随便点开一个带安全字样的软件,日,自动关闭.日,毒太牛逼了.
能干掉微点的毒很少,磁碟机算一个,让我遇上了!

[ Last edited by ll1234 on 2009-12-6 at 15:03 ]

作者: Legend 时间: 2009-12-6 15:10
感谢楼主的反馈，请将微点安装目录连同微点驱动文件（开始--运行---drivers----MP110000.SYS~MP110013.SYS）打包压缩一并发送到support@micropoint.com.cn 发送时请附带本帖链接，我们将尽快分析后给您答复。
我们建议您到微点官网下载最新微点杀毒软件：http://www.micropoint.com.cn/beta 然后具体扫描一遍，看是否有任何异常。
并请联系微点在线管理员（QQ：383154254或466248167），他们将协助您远程处理该问题。

作者: lsj301 时间: 2009-12-6 19:32
没有回应..

作者: jkok20 时间: 2009-12-6 22:45
这么牛的病毒/

想见识一下

作者: 龙龙007 时间: 2009-12-6 23:27
请楼主上报一下样本

作者: qdryxgg 时间: 2009-12-7 07:06
是啊快点传出样本干紧解决否则后患无穷啊

作者: HONEY0806 时间: 2009-12-7 10:53
楼主有米有样本呀？上传一个样本呀

作者: _/寂寞塵埃↘ 时间: 2009-12-7 11:39
居然还有这样的强毒

作者: baisffsse 时间: 2009-12-7 15:35 标题: 我前两天也遇到类似病毒，好像专门针对微点的。

我前两天在同事的电脑上也碰到类似问题，WINDOWS7旗舰刚开始好好的，用的，突然重启，启动后，WIN+R键弹不出运行，电脑右键管理项也没有禁用，GPEDIT.MSC和注册同样不能用了。用360修复没有效果，用微点自带的系统保护和IE修复也只能暂时用一边，一会又不行，好在还能打开微点，诊断没有发现异常程序。用综合程序信息，观察到一个可疑的程序，删除，然后在启动项里也删除了两个驱动级的未能识别的文件，重启后，就OK了。

作者: Legend 时间: 2009-12-7 18:09

Quote:

Originally posted by baisffsse at 2009-12-7 15:35:
我前两天在同事的电脑上也碰到类似问题，WINDOWS7旗舰刚开始好好的，用的，突然重启，启动后，WIN+R键弹不出运行，电脑右键管理项也没有禁用，GPEDIT.MSC和注册同样不能用了。用360修复没有效果，用微点自带的系统 ...

感谢您的反馈，如果您方便，请先将微点技术支持信息导出（微点主界面----辅助功能----生成技术支持信息---勾选包含相关文件）。
然后请您做如下操作：打开（微点主界面----安全防护与策略---自启动项回收站----另存），将可疑的文件导出；
如果您方便，请尝试搜寻您提及到的“用综合程序信息，观察到一个可疑的程序，删除”中的文件
发送到support@micropoint.com.cn 发送时请附带本贴链接，我们将尽快分析后给您答复。

[ Last edited by Legend on 2009-12-7 at 18:16 ]

作者: 坐照 时间: 2009-12-7 19:10
枪手吧？

作者: f8312519 时间: 2009-12-7 19:17
楼主怎么不回复了
这个得尽快上报样本了!

作者: eddysu 时间: 2009-12-7 19:54
如果有样本就好了。。试一下。

作者: wxkdl 时间: 2009-12-8 14:55
想见识一下样本

作者: tcjgdw@163.com 时间: 2009-12-8 20:26
2009-12-08 14:37:47 运行应用程序    操作:允许
进程路径:C:\WINDOWS\EXPLORER.EXE
文件路径:E:\11\11.exe
触发规则:应用程序规则->系统进程保护规则->%windir%\explorer.exe->*.*

2009-12-08 14:37:55 创建文件    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\91468.dll
触发规则:所有程序规则->文件类型记录规则->*.dll

2009-12-08 14:37:56 运行应用程序    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\System32\RUNDLL32.EXE
命令行:C:\DOCUME~1\xu\LOCALS~1\Temp\91468.dll testall
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:37:57 创建文件    操作:允许
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
文件路径:C:\pci.sys
触发规则:所有程序规则->文件类型记录规则->*.sys

2009-12-08 14:37:57 安装服务或者驱动    操作:阻止
进程路径:C:\WINDOWS\System32\SERVICES.EXE
文件路径:C:\pci.sys
触发规则:所有程序规则->程序进程记录规则->*.sys

2009-12-08 14:38:05 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
文件路径:C:\WINDOWS\System32\sc.exe
命令行:config avp start= disabled
触发规则:所有程序规则->木马程序防御规则四->%windir%\system32\sc.exe

2009-12-08 14:38:05 运行应用程序    操作:允许
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
文件路径:C:\WINDOWS\System32\taskkill.exe
命令行:/f /t /im avp.exe
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:38:05 运行应用程序    操作:允许
进程路径:C:\WINDOWS\System32\taskkill.exe
文件路径:C:\WINDOWS\System32\conime.exe
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:38:05 运行应用程序    操作:允许
进程路径:C:\WINDOWS\System32\SVCHOST.EXE
文件路径:C:\WINDOWS\System32\WBEM\wmiprvse.exe
命令行:-Embedding
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:38:12 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:13 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:14 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC2.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:14 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC2.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:15 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC1.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:16 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC1.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:16 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:17 创建文件    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\system32\113203.exe
触发规则:所有程序规则->文件类型记录规则->*.exe

2009-12-08 14:38:17 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\RUNDLL32.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe
注册表名称:[Key]
触发规则:所有程序规则->系统关键设置保护->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2009-12-08 14:38:17 运行应用程序    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\System32\113203.exe
触发规则:所有程序规则->程序进程记录规则->*.exe

2009-12-08 14:38:19 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c cacls C:\WINDOWS\system32 /e /p everyone:f
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:21 创建文件    操作:阻止
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys
触发规则:所有程序规则->系统核心驱动保护规则->%windir%\system32\drivers\pcidump.sys

2009-12-08 14:38:21 安装服务或者驱动    操作:允许
进程路径:C:\WINDOWS\System32\SERVICES.EXE
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys
触发规则:高优先规则->允许例外规则->%windir%\system32\drivers\*.sys

2009-12-08 14:38:22 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c cacls "C:\DOCUME~1\xu\LOCALS~1\Temp\" /e /p everyone:f
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:32 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\SERVICES.EXE
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
注册表名称:ImagePath
触发规则:应用程序规则->系统进程保护规则->%windir%\System32\SERVICES.EXE->*\SYSTEM\ControlSet001\Services\*

2009-12-08 14:38:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c net stop wscsvc
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:35 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c net stop SharedAccess
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:36 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c sc config sharedaccess start= disabled
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe

2009-12-08 14:38:39 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\System32\113203.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:360Soft
触发规则:应用程序规则->木马程序防御规则->%windir%\*.*->*\Software\Microsoft\Windows\CurrentVersion\Run*

2009-12-08 14:38:39 创建文件    操作:允许
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\system32\scvhost.exe
触发规则:所有程序规则->文件类型记录规则->*.exe

2009-12-08 14:38:39 创建文件    操作:允许
进程路径:E:\11\11.exe
文件路径:E:\11\kl78a.bat
触发规则:所有程序规则->文件类型记录规则->*.bat

2009-12-08 14:38:45 运行应用程序    操作:阻止
进程路径:E:\11\11.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c kl78a.bat
触发规则:所有程序规则->木马程序防御规则八->%windir%\system32\cmd.exe
是不是和这只一样的动作?
微点无法拦截

[ Last edited by tcjgdw@163.com on 2009-12-8 at 20:27 ]

作者: ll1234 时间: 2009-12-9 17:43

Quote:

Originally posted by Legend at 2009-12-6 15:10:
感谢楼主的反馈，请将微点安装目录连同微点驱动文件（开始--运行---drivers----MP110000.SYS~MP110013.SYS）打包压缩一并发送到support@micropoint.com.cn 发送时请附带本帖链接，我们将尽快分析后 ...

这个实在没办法提供了因为我当时为了重装位点已经把原来的删除了。这个病毒叫磁碟机！可以去网上下样本！
病毒一旦启动运行后会对微点的进程发送大量垃圾消息、对包含微点的窗口进行关闭操作、对微点注册的win32服务进行删除操作导致微点无法启动。

[ Last edited by ll1234 on 2009-12-9 at 17:48 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn