微点交流论坛

标题: 请问在安装迅雷时微点报未知木马是怎么回事 [打印本页]

作者: tanlimo 时间: 2007-3-16 21:50 标题: 请问在安装迅雷时微点报未知木马是怎么回事

请问安装迅雷5.6.0.280版时微点报未知木马是误报吗？

程序:
D:\DOCUMENTS AND SETTINGS\TANLIMOXP\桌面\THUNDER5.6.0.280\THUNDER5.6.0.280.EXE
木马程序生成以下文件:
1) D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-AQF60.TMP\_ISETUP\_REGDLL.TMP
2) D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-AQF60.TMP\_ISETUP\_SHFOLDR.DLL
3) D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-AQF60.TMP\GTAPI.DLL
4) D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-AQF60.TMP\HISTORYINFOTRANSFER.DLL
5) D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-AQF60.TMP\HISTORYINFO_MANAGE.DLL
6) D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-AQF60.TMP\SETUPHELPER.EXE
7) D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-AQF60.TMP\MSVCP60.DLL
是否删除木马程序及其衍生物?

微点主动防御软件测试版
程序版本： 1.2.10569.0036
特征版本： 1.4.232.070316
更新时间： 2007-03-16 18:20:56

作者: Legend 时间: 2007-3-16 21:54
请问楼主是从官方下载的讯雷吗？如果方便请楼主将这个程序或者下载连接发到support@micropoint.com.cn，我们具体测试分析。

作者: tanlimo 时间: 2007-3-16 21:57
我是在华军软件园下载的地址是：http://www.newhua.com/soft/24406.htm

江苏电信　[本地下载]

[ Last edited by tanlimo on 2007-3-16 at 21:58 ]

作者: tanlimo 时间: 2007-3-16 22:09
先前在装老版本迅雷时就报了木马，然后我到华军去下个新版的居然还是报，所以我想搞清楚是误报还是真的是木马。

这是先前的日志：
时间处理结果木马名称木马进程名木马文件创建者
2007-03-16 21:06:39 用户取消未知间谍软件 G:\总文件备份\工具软件\网络工具\下载工具\迅雷(THUNDER) 5.5.6.274\THUNDER5.5.6.274.EXE E:\PROGRAM FILES\WINRAR\WINRAR.EXE
2007-03-16 21:01:52 处理成功未知间谍软件 D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-SV4L8.TMP\THUNDERVP.EXE D:\DOCUMENTS AND SETTINGS\TANLIMOXP\LOCAL SETTINGS\TEMP\IS-JLQIQ.TMP\IS-RLIDP.TMP
2007-03-16 21:01:52 处理成功未知间谍软件 G:\总文件备份\工具软件\网络工具\下载工具\迅雷(THUNDER) 5.5.6.274\THUNDER5.5.6.274.EXE E:\PROGRAM FILES\WINRAR\WINRAR.EXE

文件同样来源于华军软件园

作者: Legend 时间: 2007-3-16 22:11
请楼主到官方网站下载安装看是否还报警

作者: tanlimo 时间: 2007-3-16 22:14
官方下不了，文件显示找不到。

作者: cva666 时间: 2007-3-16 22:22
微点误报太多，我昨天装卡巴斯基
关掉微点装卡巴再开机死机没法子在安全模式下卸载微点

作者: tanlimo 时间: 2007-3-16 23:42
我刚才又试了一下，发现一个很奇怪的现象，官方下载的迅雷与华军下载的迅雷无论是大小（4.36 MB (4,575,768 字节)），MD5值：238ecd6df420ea2fb04bba9ea6c478c3 CRC32值：4CA71538全部相同，但是为什么华军下载的就会报警呢？
请问版主还要样本吗？

作者: Legend 时间: 2007-3-16 23:44
很多软件可能被绑定了木马，建议楼主使用官方下载的安装包安装。谢谢楼主提供的信息。

作者: hortra 时间: 2007-3-20 00:07
web迅雷也被报木马了
我在天极下的
http://www.mydown.com/soft/258/258921.html

2007-03-20 00:06:09 用户取消未知木马 D:\安装文件\下载软件\THUNDER\REGISTERDLL.DLL D:\下载存储\WEBTHUNDER1.6.0.87.EXE
2007-03-20 00:06:03 用户取消未知木马 C:\DOCUMENTS AND SETTINGS\***\LOCAL SETTINGS\TEMP\NSH6.TMP\SYSTEM.DLL D:\下载存储\WEBTHUNDER1.6.0.87.EXE
2007-03-20 00:05:57 用户取消未知木马 C:\DOCUMENTS AND SETTINGS\***\LOCAL SETTINGS\TEMP\WEBTHUNDER_SETUPHELPER.DLL D:\下载存储\WEBTHUNDER1.6.0.87.EXE
2007-03-19 23:51:26 处理成功未知木马 D:\安装文件\下载软件\THUNDER\REGISTERDLL.DLL D:\下载存储\WEBTHUNDER1.6.0.87.EXE
2007-03-19 23:51:17 处理成功未知木马 C:\DOCUMENTS AND SETTINGS\***\LOCAL SETTINGS\TEMP\NSG2.TMP\SYSTEM.DLL D:\下载存储\WEBTHUNDER1.6.0.87.EXE
2007-03-19 23:51:14 处理成功未知木马 C:\DOCUMENTS AND SETTINGS\***\LOCAL SETTINGS\TEMP\WEBTHUNDER_SETUPHELPER.DLL D:\下载存储\WEBTHUNDER1.6.0.87.EXE
2007-03-19 23:33:33 处理成功未知木马 D:\安装文件\下载软件\THUNDER\REGISTERDLL.DLL D:\安装文件\下载软件\THUNDER\PART.EXE
2007-03-19 23:33:33 处理成功未知木马 D:\安装文件\下载软件\THUNDER\ASYN_DNS.DLL D:\安装文件\下载软件\THUNDER\PART.EXE
2007-03-19 23:33:33 处理成功未知木马 D:\安装文件\下载软件\THUNDER\DOWNLOAD_INTERFACE.DLL D:\安装文件\下载软件\THUNDER\PART.EXE
2007-03-19 23:33:33 处理成功未知木马 C:\DOCUMENTS AND SETTINGS\***\LOCAL SETTINGS\TEMP\NSZ6.TMP\SYSTEM.DLL D:\安装文件\下载软件\THUNDER\PART.EXE
2007-03-19 23:33:33 处理成功未知木马 C:\DOCUMENTS AND SETTINGS\***\LOCAL SETTINGS\TEMP\WEBTHUNDER_SETUPHELPER.DLL D:\安装文件\下载软件\THUNDER\PART.EXE
2007-03-19 23:33:32 处理成功未知木马 D:\安装文件\下载软件\THUNDER\PART.EXE D:\安装文件\下载软件\THUNDER\WEBTHUNDER.EXE

后来取消安装的http://www.crsky.com/soft/7290.html来自霍凡

[ Last edited by hortra on 2007-3-20 at 00:10 ]

作者: Legend 时间: 2007-3-20 00:19
谢谢您的支持我们具体进行测试欢迎您继续做深入的测试使用

作者: Legend 时间: 2007-3-20 13:12
我们根据楼主所提供信息我们进行测试,没有出现所提到的问题,楼主可以将下载的官方程序或者是认为可靠的迅雷版本加为可信,再安装,然后将您微点目录下mp6发到support@micropoint.com.cn上,并说一下您的操作系统版本和是否安装了其他杀软,我们为您具体分析一下.

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn