微点交流论坛

标题: 严重误杀，IE7无法启动了(解决) [打印本页]

作者: easyworld 时间: 2007-6-30 11:26 标题: 严重误杀，IE7无法启动了(解决)

时间处理结果木马名称木马进程名木马文件创建者
2007-06-29 21:03:01 延时删除未知木马 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\4US17EXM\THUNDER5.6.8.327[1].EXE C:\WINDOWS\SYSTEM32\IEFRAME.DLL
2007-06-29 21:02:59 延时删除未知木马 C:\WINDOWS\SYSTEM32\IEFRAME.DLL

微点主动防御软件测试版
程序版本： 1.2.10570.0156
特征版本： 1.6.369.070630
更新时间： 2007-06-30 10:21:29
win2003sp2

[ Last edited by Legend on 2007-7-4 at 13:27 ]

作者: Legend 时间: 2007-6-30 11:38
谢谢您的反馈，请您将被报警文件以及微点目录下的MP6文件夹一起打包发送到support@micropoint.com.cn，随信附带本帖链接，我们根据您的环境具体测试分析一下。

作者: easyworld 时间: 2007-6-30 11:56
这个误杀和firefox极为相似都是存在于下载软件时，我觉得微点在分析下载软件时可以存在问题，因为如果是可信程序下载软件或就是可信程序传输数据，应该数据也是可信的，如果下载的软件或数据本身有毒的话，应该杀防下载的软件或数据，不能连可信的下载程序一起也杀了。这好比给小孩洗澡，因为水脏连小孩也倒掉。

还有我发现如果用firefox下载软件直接下载在保存或打开界面时如果点取消误杀firefox的机会比较大，这也和微点的判定有关，不能由于下载行为前后不一致就认定程序有问题啊，应该充分考虑用户在使用过程中出现的误操作。

希望你们能做的更好,样本已经发出去了

作者: Legend 时间: 2007-6-30 12:01
您发的样本我们没有收到，请您再发一次到support@micropoint.com.cn，谢谢。

作者: easyworld 时间: 2007-6-30 12:47
你们有没有屏蔽sohu邮件啊，我刚才重新安装了ie7解决问题，但是打包样本我没保留,所以ieframe.dll可能没用了,只有mp6了

作者: Legend 时间: 2007-6-30 12:51
请打开微点主界面>“安全防护与策略”>“有害程序隔离”，在“有害程序隔离”列表中，找到ieframe.dll后，选择另存，将文件发给我们。

作者: easyworld 时间: 2007-6-30 14:24
这个我也很奇怪,这个程序居然在隔离中没有

[ Last edited by easyworld on 2007-6-30 at 14:27 ]

作者: Legend 时间: 2007-6-30 14:47
楼主的邮件我们已经收到，我们将根据楼主提供的信息具体测试分析，感谢楼主的反馈。

作者: easyworld 时间: 2007-7-2 17:41
又出现误杀,样本已经发了邮件

作者: 驾驭流星 时间: 2007-7-2 21:14
是不是真的啊~
误杀其他的还可以，千万象若顿般误杀windows关键文件

作者: Legend 时间: 2007-7-4 13:26
楼主的问题微点已经解决，请等待微点的更新，感谢楼主的反馈，楼主可以先自行将微点所报的文件自行加入微点可信设置中去，
具体设置如下：（微点主界面|安全防护与策略|程序行为实时监控策略|可信程序设置添加即可）
此主题暂做关闭主题处理，如有其他问题，请您另开新帖讨论！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn