微点交流论坛

标题: 微点主防也是兼信则明 [打印本页]

作者: han 时间: 2010-5-8 18:10 标题: 微点主防也是兼信则明

实在想不出好标题。

使用微点主防近3年，从试用到使用到惯用。也许是微点太让我放心了，也许是对“行为判断”的曲解，前日终成大祸。

一个恶意（有屎以来最恶意）程序，打扮得跟DOC文档一模一样，不经意运行了，微点主动防御没有所示，但磁盘上几个分区的文件内容被清洗一空，就象当年8国联军入窃圆明园一样，拿走了里面的宝贝却留个空庙（文件的内容被清零，但没有被删除，被清空的文件累计20G以上）。
后来追查的结果确信就是那个优盘上的一个DOC文档图标的恶意程序，用杀软扫描，基本都能认出。
痛定思痛，微点主防不是行为判断么？20G的内容被清空（其中包括2000－当时的苦干文档），怎么就不提示一下呢？如果当时机器里哪怕就装个360，这样的惨剧也不会发生，都怪自己偏信微点主防，教训深刻啊。

附件 1: 快照1.gif (2010-5-8 18:10, 40.7 K,下载次数： 37)

作者: scien 时间: 2010-5-8 18:16
可以的话建议用EasyRecovery Professional进行数据恢复修复看看。

如果20G的数据需要清零，硬盘运行是需要时间的，很可能是病毒修改硬盘的某些关键数据，如文件表之类的。

试试看吧，数据恢复修复，可能有意想不到的效果哦

所用软件的话，还是推荐我说的那个。你可以在别的电脑上安装，然后将你的硬盘接上那台电脑，

也可以安装后将程序的整个文件夹考到U盘上，在你自己的电脑上在U盘里运行。

不建议在本机上安装，可能造成不必要的损失。像你说的不用恢复C盘的话，装在C盘里应该也没什么问题的，主要是需要恢复的D、E盘恢复前就不要进行数据写操作就好了

祝你好运…………

[ Last edited by scien on 2010-5-8 at 18:30 ]

作者: Legend 时间: 2010-5-8 18:29
感谢楼主反馈，请您把样本文件和微点技术支持信息（微点主界面----辅助功能----生成技术支持信息）一起发送到 virus@micropoint.com.cn ，来信请附本帖链接，我们尽快分析后给您回复。

作者: han 时间: 2010-5-8 18:50

Quote:

Originally posted by scien at 2010-5-8 18:16:
可以的话建议用EasyRecovery Professional进行数据恢复修复看看。

如果20G的数据需要清零，硬盘运行是需要时间的，很可能是病毒修改硬盘的某些关键数据，如文件表之类的。

试试看吧，数据恢复修复，可能有意 ...

感谢你的关注。
我在中毒后用过几款数据恢复软件，包括你上面例举的，此外，用过基于扇区的好又快、易我、R-S、DISKGENIUS、WINHEX、RMF等等（基本都试过了），甚至找人挂到苹果系统上试过，但没有任何一款软件能找到。倒是有个DOC文档恢复工具（也应该是基于扇区的抓轨工具）能够找一部分回来，经修复后约有10%可用，但该工具仅支持DOC的特征，对WPS（多数是该类型文件，共计约一万五千多个文档）。好在以前的有备份，未备份的只有约409个（文件未删除，所以可查知）。

我非常认同你说的数据并未被清洗，这需要时间，但当时大约就10秒钟左右自动重启，但不知有什么办法能将散落在磁盘上的文件内容块恢复过来，原来的文件项目表应该也是正常的，本想扫描一下磁盘，但又害怕造成进一步伤害，所以没有动。

还有一条途径是反编译那个恶意软件，看它采用的是什么原理，再采取相应措施。但本人无此能力，周围也没有此类高人，只知道那个恶意程序是VBA编写的。

我现在在尽是补齐一些重要的文件，已经通过汉王扫描加ORC方式弄来回一大半了，余下的有时间再搞。

作者: weidianbucuo 时间: 2010-5-8 19:13
严重关注中！！

作者: han 时间: 2010-5-8 19:14

Quote:

Originally posted by Legend at 2010-5-8 18:29:
感谢楼主反馈，请您把样本文件和微点技术支持信息（微点主界面----辅助功能----生成技术支持信息）一起发送到 virus@micropoint.com.cn ，来信请附本帖链接，我们尽快分析后给您回复。

中毒系统使用问题多多，就从隐藏分区恢复了，现在无力提供技术支持信息（估计作用也不大）。
谢谢关注！

作者: weidianbucuo 时间: 2010-5-8 19:14

Quote:

Originally posted by han at 2010-5-8 18:10:
实在想不出好标题。

使用微点主防近3年，从试用到使用到惯用。也许是微点太让我放心了，也许是对“行为判断”的曲解，前日终成大祸。

一个恶意（有屎以来最恶意）程序，打扮得跟DOC文档一模一样，不经意运行 ...

请楼主把样本也发给我一下，我有兴趣！

作者: han 时间: 2010-5-8 19:19

Quote:

我想做一个实验，就是先备一个空白优盘（准备先格式化后用WINHEX填00），然后将一个有内容的DOC文档用WINHEX直接写到该优盘的某些扇区（分连续与不连续两种情形），然后用数据恢复软件恢复之。
如果有软件能找出来的话，是不是能够找到那些被清洗的文件呢。

请你分析。

作者: han 时间: 2010-5-8 19:22

Quote:

Originally posted by weidianbucuo at 2010-5-8 19:14:

请楼主把样本也发给我一下，我有兴趣！

是别人的优盘，他今天未上班，星期一可发给你，但千万莫学我，造成损失你自家负责，我有两个晚上觉都未睡好，就考虑这事。

作者: han 时间: 2010-5-8 19:29
几年的文件光目录表（A4纸五号字）就有80多页13700余个，不是有备份的话，可能有人请喝茶了。

这个贴子的目的既希望有人能帮我，同时也是告诫大家不要只用微点主防，另外弄个帮手是必须的。

作者: Legend 时间: 2010-5-8 19:30

Quote:

Originally posted by han at 2010-5-8 19:14:

中毒系统使用问题多多，就从隐藏分区恢复了，现在无力提供技术支持信息（估计作用也不大）。
谢谢关注！

请楼主把相关样本文件和微点技术支持信息（微点主界面----辅助功能----生成技术支持信息）一起发送到 virus@micropoint.com.cn ，来信请附本帖链接，我们具体分析一下，谢谢。

作者: langzi2009 时间: 2010-5-8 19:55
估计又是批处理微点对批处理的防御比较弱

作者: f8312519 时间: 2010-5-8 19:56
非常严重的关注这问题的进展
希望楼主按L版的做下
你也是希望微点能够得进步.如果你不发技术支持信息.光在这说也是解决不了什么问题的
你完全可以把这个病毒文件发给微点官方让他们来检测.然后告诉你具体的恢复办法
毕竟.人家是专业的

作者: langzi2009 时间: 2010-5-8 19:57
楼主可以把那个样本发给我吗很感兴趣 langzi2009@163.com

作者: rockyu 时间: 2010-5-9 02:07
严重关注中！微点规则的原理是阻止少量有害的动作，放行大多数其他的动作，这样的兼容很好，但缺点是众所周知的对流氓软件和批处理效果不好。楼主的情况有点悲剧了，如果开了微点杀毒应该没事，或者使用组策略中的软件限制策略+ntfs权限应该不会发生这样的事情，我在虚拟机中测试过，对很多流氓软件效果不错，单奔主防现在是有点不放心
另外还是想问问，什么时候微点能开放自定义功能，我就不必用那死板的组策略

作者: huangcan 时间: 2010-5-9 05:59
那是呀，不要吊死在一棵树上，备几个移动版本的杀毒软件也是必要的呀！

作者: scien 时间: 2010-5-9 09:38

Quote:

Originally posted by han at 2010-5-8 19:19:

我想做一个实验，就是先备一个空白优盘（准备先格式化后用WINHEX填00），然后将一个有内容的DOC文档用WINHEX直接写到该优盘的某些扇区（分连续与不连续两种情形），然后用数据恢复软件恢复之。
如果有软件能 ...

实在对不起，我其实水平很低的，帮不上什么忙了。

对于数据的重新组织，目前好像还没有什么好的软件吧，期待高人出现

病毒反汇编应该是可行的，就是不知还保留有样本不，希望微点专家们能给你更多的帮助

:(

作者: 坐照 时间: 2010-5-9 11:15

Quote:

Originally posted by langzi2009 at 2010-5-8 19:55:
估计又是批处理微点对批处理的防御比较弱

赞同

作者: 坐照 时间: 2010-5-9 11:18

Quote:

建议用户不要“‘隐藏已知文件的扩展名’”，这样可以少产生很多悲剧。

作者: han 时间: 2010-5-10 08:30
谢谢诸位关注。

昨天利用星期日在一台电脑上专门做了上面所说的实验：
1、微点主防竟然在病毒清理部分$MFT（好象如此）时给出了提示（发现木马之类的……）并阻止进一步动作。（这与那天本机出问题时不一样）
2、重启系统再运行病毒，黑屏并锁定鼠标活动范围。
3、重做系统不装任何杀软再试：
　1、病毒清理NTFS的相关文件列表
　2、1分钟内重启，用于实验的数据现象相同（大小为0）
　3、用相关恢复软件恢复，效果不理想，FAILLDATA2.0基本能找到DOC文档
5、用WINHEX按绝对扇区查找，能手中恢复WPS文件（根据事前记录的扇区位手中恢复）

总结：该病毒是VBS写的，主要清理NTFS盘的相关记录表，导致文档无法检索，但数据（数据区的数据）未被改写，使用WINHEX可以恢复，不过工作量特大。

作者: Legend 时间: 2010-5-10 10:47
楼主您好！请您把样本文件发送至 virus@micropoint.com.cn ，以便于我们进一步分析处理。谢谢！

作者: lgjlgj 时间: 2010-5-10 11:03
严重关注中！！

作者: scien 时间: 2010-5-10 11:57
楼主能找会数据就好了

可以的话，建议以后主防和杀毒双点运行。

毕竟主防对批处理和脚本的防御还是比较弱的

希望微点能尽快加强主防

作者: han 时间: 2010-5-10 12:25
已将可疑物发给官方邮箱。

回楼上，不想安装太多防杀软件，只是以后数据性资料刻成多张光盘分别保存，现在丢失的文件大约就2个月的约400多个，现已补回有发文字号的文档和部分重要项目书报告之类的。好在3月份以前均有备份。谢谢你的善意提醒。

就这事，暂时不再用软件恢复数据，决定通过扫描OCR方式追补，专心致志，不再谈论和回复相关话题了。

再次感谢以上各位的关心。

作者: langzi2009 时间: 2010-5-10 12:39
首先对楼上的兄台感到同情希望早日康复另外关注此毒

作者: han 时间: 2010-5-10 17:35

Quote:

Originally posted by Legend at 2010-5-10 10:47:
楼主您好！请您把样本文件发送至 virus@micropoint.com.cn ，以便于我们进一步分析处理。谢谢！

已经发了，但被退回。估计你们看了就说一句“经××测试，××已能处理该病毒。”对我来说意义不大，我现在不管它是不是病毒，找回文件就万事大吉，所以不再发了。

附件 1: 快照3.gif (2010-5-10 17:35, 30.07 K,下载次数： 56)

作者: 免费午餐 时间: 2010-5-11 02:30
没有100%的杀毒软件，而且楼主最好上传样本给微点官方

第一证明你自己说的是真的（比无图无真相话随你随便说）样本证明一切啊

第二如果真的过了微点，也可以帮助微点完善软件（你的挑战就是微点的进步与发展）

而且微点官方可以给你提供专业的技术服务

用邮箱传把程序压缩之后设置一个密码，比如123在发送就行了。（邮箱自带杀毒检测功能）

把样本传给我，我测试看看如何。

作者: han 时间: 2010-5-11 08:29

Quote:

Originally posted by 免费午餐 at 2010-5-11 02:30:
没有100%的杀毒软件，而且楼主最好上传样本给微点官方

第一证明你自己说的是真的（比无图无真相话随你随便说）样本证明一切啊

第二如果真的过了微点，也可以帮助微点完善软件（你的挑战就是微点的进步与 ...

已发送。

作者: scien 时间: 2010-5-11 13:37
希望微点能引起重视，

重视VBS

重视VBS

重视VBS

作者: 免费午餐 时间: 2010-5-11 13:42

Quote:

Originally posted by han at 2010-5-11 08:29:

已发送。

运行样本半个小时也没发现文件被删除（我XP SP3系统）

我使用的是正式版的微点（5.9号测试）你可以使用预升级版的试一试

我目前运行这个样本还没发现病毒行为了。

【样本地址】（解压密码 123）**可疑链接已屏蔽**最后通过微点手动结束该程序进程（系统一切完好）

[ Last edited by Legend on 2010-5-11 at 13:52 ]

作者: 剑神无边 时间: 2010-5-11 13:49

Quote:

Originally posted by 免费午餐 at 2010-5-11 13:42:

运行样本半个小时也没发现文件被删除（我XP SP3系统）

我使用的是正式版的微点（5.9号测试）你可以使用预升级版的试一试

我目前运行这个样本还没发现病毒行为了。

【样本地址】（解压密码 123）[ur ...

是的，相同的样本在不同的系统上行为是不一样的（我也测试这个样本了也没有发生威胁行为）

也没有删除所谓文件......

http://bbs.micropoint.com.cn/sho ... hlight=%CD%F8%C2%ED

【看 10楼 14楼 18楼超版回复】

http://bbs.micropoint.com.cn/sho ... F8%B6%DC&page=1

【看7楼 10楼 11楼超版回复】

http://bbs.micropoint.com.cn/showthread.asp?tid=65437&page=1

2楼的和楼下的各位分析。

在好的杀毒软件也不可能做到100%，就凭着1%就否认一个杀毒软件，不单独使用

是不负的，没有任何知识技术的人。哪个杀毒软件敢保证100%，就算混装搭配使用

他敢保证不出问题？比如漏报？冲突？ .....

[ Last edited by 剑神无边 on 2010-5-11 at 13:52 ]

作者: han 时间: 2010-5-11 15:03

Quote:

Originally posted by 免费午餐 at 2010-5-11 13:42:

运行样本半个小时也没发现文件被删除（我XP SP3系统）

我使用的是正式版的微点（5.9号测试）你可以使用预升级版的试一试

我目前运行这个样本还没发现病毒行为了。

【样本地址】（解压密码 123）[co ...

那我自能自认倒霉了。

我中毒的电脑是WIN7系统，做实验是在VISTA上。
做实验时先将除C：外的所有分区屏蔽，USB接口插了一个NTFS分区格式的优盘，上面建一个目录“试验”，里面放了1个DOC和1个WPS文档，另用WINHEX写一个文档到某扇区，然后分别记录三个文档开始位置（起始扇区）并分别计算了它们的MD5值。然后打开两款磁盘改写监控工具处于正常工作状态后运行病毒。
该病毒运行会弹出一个对话框，上面有八块黑色方块，点击任何一块都会放大，其余好象没有什么，此时监视软件无任何表现。点击“关闭”（也可能是退出，记不清了），此时监视软件提示$MFT等文件被修改，提示很快，看不太清。一分钟后系统自动重启。重启后优盘上用于实验的文档被清零（文档在，文档大小变0），用WORD打开文档为空白。
再用WINHEX根据事前记录位置手工恢复，发现文档的MD5值同前。
说明：该病毒没有覆写文档内容，但导致文档记录位置错误，从而打开为空。

[ Last edited by han on 2010-5-11 at 15:11 ]

作者: han 时间: 2010-5-11 15:08

Quote:

Originally posted by 剑神无边 at 2010-5-11 13:49:

是的，相同的样本在不同的系统上行为是不一样的（我也测试这个样本了也没有发生威胁行为）

也没有删除所谓文件......

[url]http://bbs.micropoint.com.cn/showthread.asp?tid=68222&fpage=1&a ...

安装有其它防火墙没有？是不是在虚拟环境中测试？

运行病毒是什么反映（如果样本没坏，应该如楼上的细节描述）
该病毒不删除你的任何文档，就是导致文档变成空白。

如果操作系统在运行病毒后没有重启，可能的确没起作用。

作者: han 时间: 2010-5-11 18:35
今日下午专门在一台安装XP系统的电脑上用那个样本测试了，

结果一样：所有NTFS卷上的文件大小全部变成0字节（这是现象）
实际是$MFT被清洗，导致记录表错误NTFS系统无法检索文档的实际地址。

测试环境是实机模式，2个月前的微点主动防御处于正常工作状态。

特别要注意的是：该程序运行后桌面出现一个对话框，框内分八个黑色块，点任何一块均推到前台（即放大），但只有一个“退出”可控按纽，按下此按纽前（就是退出恶意程序前）无任何行为，真正清写是在程序退出之后的一分钟内完成，那个“退出”有点象真正的“开始清写吧”。

以上回复内容与事实相符，但不保证所有电脑效果相同。

作者: rockyu 时间: 2010-5-11 21:41
楼主给我一个，邮箱stoneyu99@163.com
我试一下，先单独用主防
然后用组策略+微点能不能防住

[ Last edited by rockyu on 2010-5-11 at 21:45 ]

作者: kaixinjuedui 时间: 2010-5-11 22:20
楼主给我发个样本
kaixinjuedui@yahoo.com.cn
拿来研究下！

作者: 剑神无边 时间: 2010-5-12 15:40

Quote:

Originally posted by han at 2010-5-11 18:35:
今日下午专门在一台安装XP系统的电脑上用那个样本测试了，

结果一样：所有NTFS卷上的文件大小全部变成0字节（这是现象）
实际是$MFT被清洗，导致记录表错误NTFS系统无法检索文档的实际 ...

相同的样本在不同的系统上行为是不一样的

XP SP3系统 F32系统格式

运行样本半个小时也没发现文件被删除（我XP SP3系统）

我使用的是正式版的微点（5.9号测试）你可以使用预升级版的试一试

我目前运行这个样本还没发现病毒行为了。【单奔微点主防】

（不相信让你远程一起看如何？）

:D

[ Last edited by 剑神无边 on 2010-5-12 at 15:41 ]

作者: 免费午餐 时间: 2010-5-12 15:46
也许楼主你电脑里有的程序和微点冲突了，比如原来就有人测过，NOD32和微点一起安装会造成微点漏报病毒。也许有别的原因。

你把样本给官方提供看看微点知否能在XP SP3系统上拦截那个病毒或者是否具备威胁

http://bbs.micropoint.com.cn/sho ... hlight=%CD%F8%C2%ED

【看 10楼 14楼 18楼超版回复】

http://bbs.micropoint.com.cn/sho ... F8%B6%DC&page=1

【看7楼 10楼 11楼超版回复】

不用再纠结了，相同的样本再不同的系统环境下行为是不一样的

也许你运行病毒被攻击了，但这个人也运行了就不一定被攻击...

而且在好的杀毒软件也不可能做到100%，就凭着1%就否认一个杀毒软件，不单独使用

是不负的，没有任何知识技术的人。哪个杀毒软件敢保证100%，就算混装搭配使用

他敢保证不出问题？比如漏报？冲突？ ..... （微点不是神）努力完善加强技术。

作者: han 时间: 2010-5-12 18:00
看了上面的回复，不得不再说两句。

自从知道微点至现在，一直是正面看待的，即使这次造成损失，仍然继续使用。没有否定或贬低之意，所说的是事实，事实如此，非理论推论所能否定（一方面现有大量0字节的文件为证，另一方面可再显当时情景）。

发贴的目的一是希望有人帮助找回被清零的文件，要大家注意到这一点，相就的安装个防火墙，自认为是善意和客观的。

我的回贴每个字都是思量后用，关注者务必逐字阅读，弄清本人的意思。比如：删除文件、文件清空、MFT（和$MFT)改写等等。

所发的样本的测试，各电脑系统其结果可能不同，除杀软外，安全策略也大有影响，不同版本的防软表现也不相同，故不保证所有测试者与本人相同。

恶意软件生效的几个特征：
1、运行后出现对话框（上面有8个黑方框，可点击放大）
2、点击退出后硬盘指示灯接续闪烁
3、一分钟左右系统重启
如无以上特征或期间被其它软件或策略管理所阻止，将与我处结果不同。

作者: rockyu 时间: 2010-5-12 19:04
楼主不必在意上面的回复，御剑的马甲.数据是否恢复？
能发个样本给我吗？stoneyu99@163.com

[ Last edited by rockyu on 2010-5-12 at 19:10 ]

作者: 星光HEAVEN 时间: 2010-5-12 23:03
4天了。。。官方仍没消息么？

作者: 大雨大雨 时间: 2010-5-13 00:08
小心，小心！

作者: han 时间: 2010-5-13 10:28
本周末如有时间，将再次实验，争取用虚拟机（不太会用）测试。

声明：测试不针对任何防杀软件（那是杀软的工作，这里不越殂代疱），针对的是业已中毒后的数据找回。（届时如方便可随便测试一下微点主防并随便截图）

初步断定中毒后数据区内容未改写，病毒可能是破坏了某些特殊文件导致文件检索出错，又根据大量测试，目前未发现哪款数据恢复软件能完美的找回0字节文件的真实内容，其中有一软件能恢复DOC等固定格式文件，但如果该文件连续1个扇区以上HEX为00，该文档就被忽略，如果能够延伸到下一个FILESX值可能效果会好些，文件的种类也很有限，不妨使用“广谱”特征模板，其实这与恢复那些数据已经不远了，是个商机，奈何自己无能为力。对此有兴趣者不妨其它地方共同探讨。

作者: ywyh 时间: 2010-5-13 10:38
这个要好好看下，学习点经验

作者: jkok20 时间: 2010-5-13 15:00
希望楼主发送样本给我。
测试下。

81329231@qq.com

作者: Legend 时间: 2010-5-13 15:30
感谢楼主的细致反馈，请楼主将相关样本压缩加密（密码设为：virus）后发送到virus@micropoint.com.cn邮箱，以便我们分析测试，谢谢！

作者: 无名诗 时间: 2010-5-13 18:37
微点技术还不完善呀,主防不严秘.保护不了电脑安全性,中病毒也不报的.

作者: scien 时间: 2010-5-13 19:11
楼主

用心良苦

静候测试结果和官方升级

不知文档是否补齐

仅代表党中央和国务院对楼主的遭遇表示深切的慰问

作者: scien 时间: 2010-5-13 19:13

Quote:

Originally posted by 无名诗 at 2010-5-13 18:37:
微点技术还不完善呀,主防不严秘.保护不了电脑安全性,中病毒也不报的.

………………

人无完人

何况是

一款软件

作者: chldmt 时间: 2010-5-13 20:52
大家不要把所有问题都推到微点身上啊，毕竟杀软和病毒是攻与防的关系，出错也是难免的，我们只能寄望会越来越好，同时对LZ的遭遇深表同情~
我就是装了主动防御外加ESS还有每周用大蜘蛛绿色版最新病毒库来清扫一次的，没有完美的东西，上网了只能靠自己小心了，毕竟这年头。。。

作者: han 时间: 2010-5-14 10:25

Quote:

Originally posted by scien at 2010-5-13 19:11:
楼主

用心良苦

静候测试结果和官方升级

不知文档是否补齐

仅代表党中央和国务院对楼主的遭遇表示深切的慰问

灾区人民衷心感谢领导的关怀（有点水了）！

承蒙大家相助，通过自身的不懈努力，时至此刻，已经扫描补完有纸质的红头文件，重要的白皮资料也补回。但仍有大量工作要做：一是有部分文件未找到纸质体，需要到下发部门收集。二是扫描补档时产生一定的错误，需要逐一重校。

样本分析的结果或者严格讲可能算不上病毒，但它也不是批处理那么简单，它能实实在在的造成比病毒和木马都要严重的损害。微点既是行为判阻安软，理当对诸如此类的磁盘改写“阻后报处”（先阻止后提示再响应），不管话是否好听，我仍然指出这是微点主防现存的一个缺憾。

最后，本人也代表地方政府对微点作出贡献表示感谢（借用楼上的），对微点的发展一如既往的用心支持，希望微点扬长补短，科学发展。

（本主题贴既水，请管理员酌情删除）

作者: 镜湖YES 时间: 2010-5-14 17:25
持续关注，楼主到底有没有将样本发至官方

作者: han 时间: 2010-5-15 08:28

Quote:

Originally posted by 镜湖YES at 2010-5-14 17:25:
持续关注，楼主到底有没有将样本发至官方

昨天再次发了（早于LG要求发邮箱时），另一并发到外两位坛友的邮箱中。
本周上级来巡视，没时间测试了。

作者: han 时间: 2010-5-15 12:12

Quote:

Originally posted by 镜湖YES at 2010-5-14 17:25:
持续关注，楼主到底有没有将样本发至官方

官方已经回复了，不过没有谈之前的MP主防能否抵御，也没有谈受此清零的文件能否恢复之事，回复如下：

尊敬的用户，您好！
您的邮件已经收到，感谢您及时联系微点客户服务人员！希望下面的邮件内容能够使您得到您所需要的帮助;根据您描述的情况及提供的信息，我们的技术工程师做了详细的测试与分析。详情如下：

工作总结.exe ：Trojan.Win32.VB.d

请等待微点的更新，感谢您的反馈。

（解释PE等概念的注释从略）

作者: littlefritz 时间: 2010-5-15 17:21
丢失的文件应该怎么修复呢，微点应该是有义务为正版用户免费提供此服务的。

作者: han 时间: 2010-5-15 18:14

Quote:

Originally posted by littlefritz at 2010-5-15 17:21:
丢失的文件应该怎么修复呢，微点应该是有义务为正版用户免费提供此服务的。

用的是试用版。不过就算正版，MP也没有义务为我恢复数据，如果官方能够给我讲下该病毒的破坏原理就万分感谢了(目的是看有捷径恢复没有，不过现在已经没有意义了)。

就我的情况，恢复基本是不可能的事，主要是出问题后第二天，硬盘就被公安局的一个“高人”拿去恢复了，不知他做了些什么，但我收到硬盘时，发现存放文档的那个分区有一些他恢复的东西(大约有600多个)，这是恢复数据大忌。
根据后期自己做的实验，基本断定数据并没有被写掉，如果不怕麻烦，是可以用WINHEX手动恢复，但WINHEX自动化太差了，所以我还是采取扫描重排方式补回文件的。截止昨天上午已基本补完。谢谢你的关注。

作者: kaixinjuedui 时间: 2010-5-17 11:14
这个文件你上报之后微点更新了病毒库这个带UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo 壳的文件就被当木马给杀了。。
可问题是... 当我把壳脱掉...微点就木反映了..我汗一下... 再换个壳...微点依旧无反映...照样可运行...

微点这样治标不治本？希望能有办法根本解决此类病毒...

作者: scien 时间: 2010-5-17 12:24
很惊异，居然惊动了公安局，

当然可能是个人行为啊。

作为软件的用户，

当然我也希望微点能协助或提供一些数据恢复的帮助

虽然法律上并没有要求他们这么做

就看微点企业文化理念了，

作者: han 时间: 2010-5-17 15:48

Quote:

Originally posted by kaixinjuedui at 2010-5-17 11:14:
这个文件你上报之后微点更新了病毒库这个带UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo 壳的文件就被当木马给杀了。。
可问题是... 当我把壳脱掉...微点就木反映了..我汗一下... 再换个壳. ...

再引伸的想一想，也许得出个什么结论。

作者: han 时间: 2010-5-17 16:10

Quote:

Originally posted by scien at 2010-5-17 12:24:
很惊异，居然惊动了公安局，

当然可能是个人行为啊。

作为软件的用户，

当然我也希望微点能协助或提供一些数据恢复的帮助

虽然法律上并没有要求他们这么做

就看微点企业文化理念了，

如果丢失的全数文档都无法补回的话，虽不至于坐牢，但纪律处分是少不了的，想想看，一个文档才40K左右，而丢失资料文档就达900余M，这不是随便闹着玩的。至于微点帮助恢复数据，一则他们未必愿意帮助，再则......
总之，报警是必须的，报点则是自由的，就当与大家聊天。

作者: wsh_888 时间: 2010-5-17 17:24
看到这个帖子，是我用微点3年来，最难过的。很同情你，但作为微点支持者更关心和希望以后不会发生了，强烈希望微点帮助恢复数据，来体现微点对用户的责任心，虽然是试用版或是预升级用户。

作者: han 时间: 2010-5-17 18:45

Quote:

Originally posted by wsh_888 at 2010-5-17 17:24:
看到这个帖子，是我用微点3年来，最难过的。很同情你，但作为微点支持者更关心和希望以后不会发生了，强烈希望微点帮助恢复数据，来体现微点对用户的责任心，虽然是试用版或是预升级用户。

不会了，事发后已将资料刻多张光盘，同时压缩打包上传到网盘，并在多台电脑上加密保存，现在即使整个办公楼地震了都没事。

作者: han 时间: 2010-5-18 16:16
结语：

微点主防当是防在彀中。

作者: 李莫愁 时间: 2010-5-20 01:10
连夜看完楼主帖子及所有跟帖，先对楼主的遭遇表达深切的同情。。。。。

后表达对楼主几次辛苦测试表达深切的敬佩。。。。。。

再表达对那些无良之人编造之病毒木马行径表达强烈的谴责。。。。。

话说当年我的windows遭到毁灭性打击之后损失惨重，痛定思痛，将所有文档资料及值得保存的数据全部转移到Mac os x下面，同时开启隐身模式，显示所有程序后缀名，看见exe的都删掉（反正不是我的，虽然不删掉它也跑不起来），大多数时间只用.add的程序，再也不用为被流氓QJ的注册表而费神费力，也不用担心病毒来破坏我宝贵的数据，只可惜，失去的却是最宝贵的记忆。。。。

顺便提一句，WINHEX手动起来超级强大，乃一神兵利器，可惜俺驾驭不了。。。。。。。

作者: han 时间: 2010-5-20 08:32
论坛发图很不方便，我还是发两张吧。

附件 1: 10.gif (2010-5-20 08:32, 69.04 K,下载次数： 32)

作者: han 时间: 2010-5-20 08:33
再发：

附件 1: 30.gif (2010-5-20 08:33, 48.47 K,下载次数： 26)

作者: han 时间: 2010-5-20 08:34
继续发，每次只能一张：

附件 1: 60.gif (2010-5-20 08:34, 79.16 K,下载次数： 24)

作者: han 时间: 2010-5-20 08:44
实际中毒后约20天，其样本已经会被主动防御“见则杀”了，但为了验证微点是不是从行为上防止，因此对样本作一个字改动（改动前主防见则杀），专门格式化E：并复制一个用于实验的文件夹（里面有400多个文档）后实验。实验结果如前。

由此证明：微点主动防御现在只能是黑名单式杀除病毒，但不能从行为上防止，因此个人认为目前微点没有解决该恶意行为程序问题。

作者: snhao 时间: 2010-5-20 11:25
改了一个字节就不认识了，微点说你什么好啊！你还是主动防御么？

作者: han 时间: 2010-5-20 12:07
只要MD5值变了，MP就既不杀也不阻止其恶意行为，这不是个别现象。
所以前天发贴建议微点主防集成个简易的特征扫描，但未被采纳，后考虑到多方因素叫版主删贴了。

在此也请版主删除本主题贴。

作者: wsh_888 时间: 2010-5-20 12:16
密切关注微点官方的动作，希望此贴创造奇迹

作者: scien 时间: 2010-5-20 12:17

Quote:

Originally posted by han at 2010-5-20 08:44:
实际中毒后约20天，其样本已经会被主动防御“见则杀”了，但为了验证微点是不是从行为上防止，因此对样本作一个字改动（改动前主防见则杀），专门格式化E：并复制一个用于实验的文件夹（里面有400多个文档）后实验 ...

微点………………

不知道为什么会这样。

估计这个官方不会公开回复了。

希望是因为有别的特别任务，造成人手不足吧

……………………

作者: Legend 时间: 2010-5-20 14:05
感谢楼主的测试和反馈！
经过我们测试分析，已确认微点主动防御软件没能有效防御此病毒，我们正在加紧改进和完善。
目前，为尽可能的减小此病毒的威胁，保护用户系统的安全，我们已经收录此病毒的样本。
再次感谢楼主及各位用户对微点的关注和支持！

此贴关闭，如果有新问题，欢迎继续开新帖讨论。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn