微点交流论坛

标题: [注意]微点还不能清除 7939 病毒 [打印本页]

作者: wuming 时间: 2006-11-19 19:38 标题: [注意]微点还不能清除 7939 病毒

不好意思，上次冤枉微点了，那个 my123 和 7939 不是一个病毒，估计上次见到的是 my123 + 7939 的情况。今天见了只有 7939 的情况。
同样，装了最新版本的微点，不能查杀。
想提取病毒样本，可是找了半天也没找到病毒体，任何启动项都没有发现异常，已加载的线程也没有什么异常情况。于是，不知道怎么提取了。

我用 RegMon，发现是 winlogon 这个线程在一直写 ie 首页的注册表键值。可是，这个总不是病毒吧？任务管理器肯定无法结束它的。

进入安全模式，病毒同样已经加载了。

装了最新版本的金山，不能杀。
还用了最新版本的 360safe，不管用。
下载了网上几乎所有的专杀工具，都不管用。
最后在瑞*找到一个 7939 的专杀，才算解决了问题（绝对不是替瑞*做广告），原来这次是 7939 的变种。

无法给微点找这个病毒的样本了，希望微点能解尽早决掉这个病毒。

作者: Legend 时间: 2006-11-19 20:17
请把此病毒网址或病毒样本压缩发送至 virus@micropoint.com.cn 我们测试下

作者: aidi 时间: 2006-11-20 09:11
楼主不厚道，总说微点不能够查杀，又不提供样本出来；
既然你能找到能杀的一定看得到样本的名称的。
没有样本楼主也可以提供你测试时微点的相关日志供官方分析，不要只说什么不能杀又什么也不提供，这样是没有意义的！

ps：推荐楼主下次再发现问题，或及时联系官方或留下相关信息、日志、样本，提供给官方做分析。

作者: 惯睡旺 时间: 2006-11-20 09:16
鄙视LZ~!怀疑LZ是否真的有这种情况

可以让管理远程看一下也不错,哈哈

亏你还懂得用RegMon注册表工具.

PS:把微点的注册表保护全部打勾.OK

作者: wuming 时间: 2006-11-23 01:16
晕，楼上几个看懂我的情况没有？？

不是我的电脑，是我帮别人修电脑时，遇到了问题！微点是为了解决问题临时装的！！！所以，怎么会有相关日志呢？？更不要说注册表保护了！

要我提取样本，提取什么？提取 winlogon.exe 吗？哪个电脑都有！

网上虽然有 7939 的手工清理步骤，但是都无效，根本找不到相关文件，试验了半天，只有瑞*的那个专杀给杀掉了。而专杀报告的日志，前面 n 项都是清除 memory 中的病毒，后面就开始清理 winlogon 一类的明显是系统文件的病毒了。

如果是 my123 那次，我就能提取了，因为文件名有特征，上次只不过工具盘没有带全而已，无法拷贝相关病毒文件。

还有，远程控制，，你敢在可能有木马的机器上输入你的 qq 密码吗？？现在破解掉 QQ 的口令保护都是小菜一碟。

作者: wuming 时间: 2006-11-23 01:19
还有呢，这个 7939 只要中了，那么安装微点后，是无法打开主窗口的。用专杀杀掉后，主窗口才能打开。包括 McAfee，种了 7939 后，连启动界面都没有了。

作者: leybyr 时间: 2006-11-23 07:28
也别这样说楼主啊。别的不说，就是说合理的步骤，也不是任何人都能采取合理的步骤的，更有可能有别的原因了。

作者: Legend 时间: 2006-11-23 08:56

Quote:

Originally posted by wuming at 2006-11-23 01:19:
还有呢，这个 7939 只要中了，那么安装微点后，是无法打开主窗口的。用专杀杀掉后，主窗口才能打开。包括 McAfee，种了 7939 后，连启动界面都没有了。

您说的无法打开主窗口是指不能打开微点的主界面吗？安装微点后是否重启系统？具体提示信息是什么？
请问您是否询问过您的朋友是什么时候发现中的？具体操作什么后中的？
如果您再发现这种现象可以直接跟我们联系
qq技术交流群：16998902
邮箱：support@micropoint.com.cn

作者: wuming 时间: 2006-11-26 19:22

Quote:

Originally posted by Legend at 2006-11-23 08:56:
您说的无法打开主窗口是指不能打开微点的主界面吗？安装微点后是否重启系统？具体提示信息是什么？
请问您是否询问过您的朋友是什么时候发现中的？具体操作什么后中的？
如果您再发现这种现象可以直接跟我们联系
qq技术交流群：16998902
邮箱：support@micropoint.com.cn

对，不能打开微点主界面，但是托盘的图标还在，双击没有反应，也没有任何提示。
安装后重新启动系统了，否则就不会出来托盘图标了。

听他说，是下载卡丁车的外挂的时候中毒的（下载外挂，活该），但是我用 360safe 扫描恶意软件的时候，扫出来一大堆，估计平时不一定什么时候中的呢。

因为之前微点技术员通过 qq 远程控制帮我解决过 nfs8 的问题，所以我当时真想开 qq，可是不敢啊，害怕这个东西能盗 qq。所以我顺便建议一下，能不能增加一个在线聊天室？就是只要打开 ie，就能反馈问题，这样就方便多了。

作者: wuming 时间: 2006-11-26 19:28
补充一下，用专杀工具杀这个 7939 的时候，开始几行，都是在 Memory 中查杀，并且每次都显示查杀 winlogon.exe，前几行都一样。
后面就开始对整个磁盘进行扫描了，发现了 10 来个 7939 病毒，但是每个发现病毒的文件，看起来都是系统文件，怪怪的。难道修改 exe 病毒的时代又回来了？
如果是这样，那么一个感染了病毒的 exe，同样会产生恶意行为，按照微点的做法，就是把这个 exe 文件当作病毒了，而不是从 exe 文件中删除追加的病毒。微点能否融合老杀毒软件的处理方法？

作者: Legend 时间: 2006-11-27 10:50
请问楼主具体是在下载哪个外挂时出现的？请把您的下载连接发给我们

作者: wuming 时间: 2006-11-27 20:54
不是我，是我帮别人处理电脑故障的时候遇到的。我问过那个朋友，他也说不清楚，就是搜索引擎搜出来的。我也想了许多提取病毒的办法。。。建议微点应该写一个置顶贴，告诉大家如何提取病毒，比如，文件被占用的情况如何提取，发现不了的情况下如何提取，等等。

另外，这期《电脑报》报告了三个难缠的恶意程序，其中两个就是 my123 和 7939，都让我碰到了，幸运啊，呵呵。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn