微点交流论坛

标题: 【已解决】我问一个简单的问题，什么地方可以了解木马的动作？ [打印本页]

作者: scien 时间: 2010-2-8 17:26 标题: 【已解决】我问一个简单的问题，什么地方可以了解木马的动作？

我的意思是说：

某天我运行了一个程序，运行后发现中招了，当时微点无反应。（原因可能是该程序只是改了浏览器的主页，在桌面生成几个快捷方式）

发现中招后，于是给微点提供可疑文件样本。

一开始我说微点回复不是病毒，是我的失误，回复中说的是病毒并报了病毒名，对不起。

今天更新后，再次运行该程序，微点提示有木马：

从木马名称看，应该是改主页的，但是算到了木马行列里。于是我开始担心了。

因为微点只是在更新后提示木马，而且是阻止运行+删除。并没有提供清除操作。那么我之前运行了该木马，它会不会有什么遗物呢？

然后我上微点主页想看看这个木马的动作分析，搜索里找不到该名称的木马。

最后，真正的问题出来了：

我在什么地方可以了解到这个木马的动作行为，类似于主页上的那些行为分析。

以便我手工铲除该木马的余党。

谢谢

刚刚想到的一个可能是：网页还没有来得及更新。

[ Last edited by Legend on 2010-2-24 at 09:50 ]

作者: magicface 时间: 2010-2-8 17:31
是你新上报的木马吧，找找病毒公告区有没有你的那个病毒的名字，一般版主会把那木马都干了什么，产生了什么文件，位置等信息写在那里，你照着清除一下就行了。

作者: Legend 时间: 2010-2-8 17:32
感谢楼主的反馈，如楼主方便请您将微点的报警文件连同微点的技术支持信息（微点主界面--辅助功能--生成技术支持信息--另存到桌面）一起给我们发送至virus@micropoint.com.cn 邮箱当中我们具体分析后会给您回复，随信请您附带本帖链接。

作者: snhao 时间: 2010-2-8 17:38
系统日志中有详细记录

作者: scien 时间: 2010-2-8 17:46
对不起大家

刚收到了微点回复邮件，回复中说是病毒

由此误导了大家，对不起了

作者: images 时间: 2010-2-8 17:51
看名称应该是修改ie主页的，会修改桌面的ie图标指向被修改的网页地址，对系统本身没有危害，只是你每次运行ie都会打开那个被修改的页面，删除后应该就没有问题了。

作者: scien 时间: 2010-2-8 17:53

Quote:

Originally posted by snhao at 2010-2-8 17:38:
系统日志中有详细记录

可能是病毒采用的是脚本或命令行的形式吧，之前微点没有任何有用的记录
只记录了程序运行退出和调用CMD及一个系统程序，别的没有了，连修改注册表都没有记录。

所以我想上网查查微点的行为分析了。

作者: scien 时间: 2010-2-8 17:58

Quote:

Originally posted by images at 2010-2-8 17:51:
看名称应该是修改ie主页的，会修改桌面的ie图标指向被修改的网页地址，对系统本身没有危害，只是你每次运行ie都会打开那个被修改的页面，删除后应该就没有问题了。

问题是，我不清楚是否还有别的动作

因为微点一般都不把改主页这种行为当病毒的，

这回既然报警了，而且以trojan开头，

我有点担心

作者: scien 时间: 2010-2-8 18:23

Quote:

Originally posted by Legend at 2010-2-8 17:32:
感谢楼主的反馈，如楼主方便请您将微点的报警文件连同微点的技术支持信息（微点主界面--辅助功能--生成技术支持信息--另存到桌面）一起给我们发送至virus@micropoint.com.cn 邮箱当中我们具体分析 ...

回复版主，
文件和技术信息已发

作者: littlefritz 时间: 2010-2-8 19:59
微点会对注册表、程序读写进行监控，如果中了微点没有报告的病毒，可以参考这些内容进行手工修复。

作者: 坐照 时间: 2010-2-9 10:15
已阅

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn