微点交流论坛

标题: 公司的电脑中毒，微点无法彻底清除 [打印本页]

作者: 如风过路 时间: 2008-7-3 08:40 标题: 公司的电脑中毒，微点无法彻底清除

公司一台用于监控的电脑中毒，微点判断为未知木马，多次删除也未能彻底删除，后出现Explorer错误，重启后系统崩溃，只能重装。希望微点能加强对木马的查杀。

作者: 如风过路 时间: 2008-7-3 08:40
另我留下了病毒的部分样本，和当时微点的技术支持信息，应该发到哪里？

作者: Legend 时间: 2008-7-3 08:43
谢谢您的反馈，请把您的样本导出连同微点软件辅助功能-生成技术支持信息导出复制到桌面压缩发到support@micropoint.com.cn我们具体测试分析下
发送完请把您的邮箱地址用论坛短消息发给我，便于对您的问题的跟踪处理。

作者: 如风过路 时间: 2008-7-3 09:02
样本已经发送

作者: 全能人 时间: 2008-7-3 09:50
看情况，好像是搞到系统文件了。所以开始删不掉，后来系统出问题。

作者: 如风过路 时间: 2008-7-4 14:46
有没有结果，希望版主回复下哦

作者: Legend 时间: 2008-7-4 15:30
楼主的问题，我们正在分析，请您耐心等待，我们分析后会及时给您回复的。

作者: amidhala 时间: 2008-7-4 16:52
楼主的这个问题我也遇到过类似的...就是Explore.exe文件无法删除,提示延时删除,可是重新启动进去后还是没删除掉

作者: Legend 时间: 2008-7-4 17:00

Quote:

Originally posted by amidhala at 2008-7-4 16:52:
楼主的这个问题我也遇到过类似的...就是Explore.exe文件无法删除,提示延时删除,可是重新启动进去后还是没删除掉

请按照3楼方法提供相关文件，我们帮您具体分析。

作者: 木叶冷 时间: 2008-7-5 21:58
怎么还没有回应呢？密切关注中……

作者: stht1986 时间: 2008-7-6 11:54
任何电脑一旦中毒解决问题的最好最有效的方法就是重装系统！

这是企业的默认规矩，不能靠软件杀软件的，软件只能防的！

作者: 桃源梨花 时间: 2008-7-6 18:59
解决方案：
使用微点的自启动诊断，删除可疑的，这样重新搞一次，就干净了……
o(∩_∩)o...
就这么简单
（好的回复，给47加分儿……）

作者: 如风过路 时间: 2008-7-6 23:20
请按照3楼方法提供相关文件，我们帮您具体分析

系统已经格掉了，没法提供了，不好意思哦

作者: 如风过路 时间: 2008-7-6 23:21
任何电脑一旦中毒解决问题的最好最有效的方法就是重装系统！

这是企业的默认规矩，不能靠软件杀软件的，软件只能防的！

公司的电脑一般不能随便重装的，因为里面有很多重要内容的，其实企业里重要的是备份！！

作者: 如风过路 时间: 2008-7-6 23:23
解决方案：
使用微点的自启动诊断，删除可疑的，这样重新搞一次，就干净了……
o(∩_∩)o...
就这么简单
（好的回复，给47加分儿……）

自启动程序和系统进程都正常，看不出任何问题

作者: jizehei 时间: 2008-7-7 18:23
对于微点的错误判断木马文件,导致系统崩溃的问题,我都不想说什么了.

作者: Legend 时间: 2008-7-7 18:28

Quote:

Originally posted by jizehei at 2008-7-7 18:23:
对于微点的错误判断木马文件,导致系统崩溃的问题,我都不想说什么了.

具体我们需要根据情况来分析才能确定，如果您遇到类似情况的话希望您也能协助我们发送相关信息：）

作者: 如风过路 时间: 2008-7-8 12:32
这个问题不是微点造成的，是木马。这个我可以肯定，不过没有那么多时间仔细分析，因为电脑要急用的

作者: 如风过路 时间: 2008-7-9 12:58
脚本病毒.vbs的查杀。

一、查杀此毒的关键是禁止c:\WINDOWS\system32\wscript.exe运行。wscript.exe是系统程序，不是病毒。但它是此毒运行的必要条件。
禁止wscript.exe的办法有：
1、在“软件限制策略”中禁掉c:\WINDOWS\system32\wscript.exe（图1）
2、将I386、dllcache、system32三个文件夹中wscript.exe的后缀去掉。这时，“windows文件保护”机制被触发，用户会收到系统报警：windows系统文件被替换为不可识别的版本。不必理会（因为这是用户去除wscript.exe后缀的结果）。在提示对话框中分别点击“取消”、“是”。
只要上述任何一种操作成功，便打断了此毒“连环套”式的感染环节，病毒主体无法运行（图2）。

二、结束c:\WINDOWS\system32\wscript.exe进程。

三、用IceSword找到并删除下列病毒文件：

c:\windows\.vbe

c:\windows\system32\.vbe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs

四、删除病毒添加的注册表内容：
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除： <.vbe> []
注1：这个服务名是病毒拷贝的本地计算机名。不同的电脑，此名不同。
注2：如果是采用第二中办法禁wscript.exe，杀完毒后，请恢复I386、dllcache、system32三个文件夹中wscript的后缀。

作者: 如风过路 时间: 2008-7-9 12:58
在网上找到了一个解决办法

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn