微点交流论坛

标题: 是误报还是杀软冲突？(微点已确认是误报误杀) [打印本页]

作者: wellioncn 时间: 2006-12-7 20:29 标题: 是误报还是杀软冲突？(微点已确认是误报误杀)

今天在深度论坛这里http://bbs.deepin.org/read.php?tid=21788&fpage=4下了一个绿色免装版的nod32，按照其说明开启监控，重启后登录时提示有一个服务加载失败。
于是到系统日志查看，发现失败的服务是“ws2ifsl”，上网搜索，大多数是与一个“roogoo通用搜索”的流氓插件有关。
我电脑里文件管理一直用TOTAL COMMANDER 的，当时就用TC找到windows/system32/drivers/ws2ifsl.sys,当时似乎只是刚找到这个文件，鼠标单击了一下（左键还是右键不记得了），微点马上报警说发现未知病毒TC.exe，是否删除？选择否，就一直报警，只好是，TC即被强行退出，以后TC就再也无法启动了。
随后又连续出来一系列报警，除了刚下载的那个nod32目录中很多文件是未知病毒外，原来已安装正常使用中的TrojanHunter也被报未知病毒并强行退出监控，还有DIRECTX版本助手、DIRECTX随意卸等几个软件，报未知病毒并隔离。
重启系统nod32、TrojanHunter的监控不再自动启动了，TC还是不能运行（估计是已删除了某个调用文件）。
只好将隔离的”未知病毒"文件一起恢复到一个临时目录下，备份ws2ifsl.sys文件，然后重装系统。
现在新系统下用卡巴（刚升级的病毒库）扫描nod32的目录、下载的压缩文件、存放“未知病毒”文件的临时目录、TC目录等都未报病毒，比较新装系统的ws2ifsl.sys文件与原备份，没有区别。
因急着重装，原来微点的日志没有保留下来。
请超版看看是否误报误杀还是真遇上了厉害角色？

系统：windows2003 sp1
微点版本：微点主动防御软件
程序版本： 1.2.10513
特征版本： 1.4.173.061207
更新时间： 2006-11-20 11:46:37 ！！！我现在升级说我的已经是最新版本啦

要不等下我把"未知病毒”整个目录打包发送？

[ Last edited by wellioncn on 2006-12-13 at 23:03 ]

作者: Legend 时间: 2006-12-7 20:44
请将这个TOTAL COMMANDER 和TrojanHunter安装文件或者其下载连接发到support@micropoint.com.cn，我们具体测试一下。

作者: wellioncn 时间: 2006-12-7 21:27
完了，刚才发送打包的“未知病毒”临时文件夹，gmail说“您的附件含有病毒，可能无法发送,请删除附件后在发送”，gmail的病毒检测可靠吗？看来真的是中标了啊
应该不是TC和TrojanHunte的问题，这两个软件在我的系统中与微点并存运行很久了的，从来未报过毒。
两个软件都是绿色版没有安装文件，下载地址太久了真搞不清了。现在硬盘里的目录又是已经被微点隔离了怀疑有毒的部分了的，应该已经不含毒了。
等下我换别的邮箱再发吧

作者: wellioncn 时间: 2006-12-7 21:44
刚才已用雅虎的邮箱发送成功了！雅虎邮箱提示用诺顿2006检测未发现病毒呢^_^
包括下载的nod32也一并发出，请检测
辛苦超版了，谢谢啊

作者: weizg 时间: 2006-12-8 01:08
关注一下

作者: Legend 时间: 2006-12-8 09:12
wellioncn
请把您的邮箱地址用论坛短消息发给我

作者: yewudao 时间: 2006-12-8 11:58
深度论坛还是不错的，但会员发的东东还是要谨慎对待，，
装微点就行了，，那些绿色破解或多或少都是动过手脚的，，
养成好的上网习惯，可以“裸奔”啊－……^_^

作者: wellioncn 时间: 2006-12-8 13:17

Quote:

Originally posted by yewudao at 2006-12-8 11:58:
深度论坛还是不错的，但会员发的东东还是要谨慎对待，，
装微点就行了，，那些绿色破解或多或少都是动过手脚的，，
养成好的上网习惯，可以“裸奔”啊－……^_^

非常同意兄弟的话。
其实我自己本来是只装微点的，只是朋友（菜鸟）的机器刚新装的系统怀疑中毒了，给装了卡巴又刚巧遇上锁key，推荐微点给她又说装了重启就死机。我没空到场去看，就想给她找找别的让她自己下载来用。结果自己一试这个就@#@￥%&*：（
也是因为比较信任深度论坛，而且也是看这是某版主置顶帖里推荐的资源才试用的，平时也是非常谨慎的。
如果证实这个软件真的含毒，要去深度提个醒呢

作者: wellioncn 时间: 2006-12-9 15:41
微点的反馈很快啊，原来昨天下午就给我发了邮件反馈了（如下），害我一直在论坛等：（

主题：测试反馈

wellioncn，您好！
将你上报的NOD32绿色版，在XP、2k操作系统(已安装微点)下进行测试，没有出现微点误报的情况。希望您继续关心和支持微点软件，谢谢！
　　　　　　　　致
礼！

　　　　　　　　virus

　　　　　　　　virus@micropoint.com.cn

　　　　　　　　　　2006-12-08

作者: wellioncn 时间: 2006-12-9 15:42
还是有疑问，所以我回复：
谢谢！
那被微点隔离的那些“未知病毒”呢？那才是真正被微点检测为病毒并且直接隔离的样本，因为在使用NOD32绿色版之前一直在用并且未被微点报警的，所以才怀疑是那个NOD32绿色版感染的而已。
而且这些样本在上传到gmail的邮箱的时候确实报查出病毒。
另外我的系统是windows2003 sp1不知是否有区别？专门针对2003的病毒？

作者: Legend 时间: 2006-12-9 16:02
好的，我们会再进行测试.另外,请确认您发给我们的nod32安装包,是您重新下载的,还是微点原先报未知病毒的安装包呢?

[ Last edited by Legend on 2006-12-9 at 16:14 ]

作者: wellioncn 时间: 2006-12-9 16:21
不是啊。是运行这个版本中的@install.cmd然后重启后，微点报发现一些“未知病毒”，我开始一两个选择了"删除“处理，后面的才选择"隔离”，隔离的文件我已导出，就是打包发给你们的1.rar文件，这个包在gmail里也被检测为含有病毒不让发送，后来换雅虎的邮箱就没检测出而发送给你们了的。
看来我的表述有问题，前面说的不够清楚？：（

ps：刚才再试用gmail发送nod32绿色版的下载包，没有检测出病毒，看来微点的跟gmail的检测是一致的，都是认为nod32的包无毒而隔离的那些文件含毒。

再ps：超版回复快，好尽职，赞一个！

作者: wellioncn 时间: 2006-12-9 16:30
缠夹不清了呵呵

“请确认您发给我们的nod32安装包,是您重新下载的,还是微点原先报未知病毒的安装包呢?”
1、所发nod32安装包是我最初原始下载的；
2、这个安装包安装时微点并未报未知病毒，而是安装好重启后，电脑使用一会时微点才报发现未知病毒，并且不仅只于nod32软件的文件，包括其它一些原来一直使用与微点并存很久的软件（TC、TrojanHunter）等中的文件——所以才会怀疑是nod32感染的。

作者: wellioncn 时间: 2006-12-13 23:15
这几天较忙，没有来汇报后续情况

原来9日下午微点已有回复，内容：
wellion chen，您好！

　　1文件夹下，你提到的，被微点隔离的那些“未知病毒”，我们测试了，微点也没有报警。希望您继续关心和支持微点软件，谢谢！

那么确实是微点误报误杀了。
我在重装后的系统里再次安装了那个nod32，还有被误杀隔离了文件而不能运行的几个软件，经比较隔离的文件与原文件的日期、大小一模一样。用升级了最新病毒库的卡巴、nod32、TrojanHuanter扫描隔离文件包均报无病毒、木马。微点也没有报任何病毒。
奇怪的是这个文件包在gmail里发送时也被认为含有病毒不让发送，不知gmail用的什么杀软，和微点一样误报？

[ Last edited by wellioncn on 2006-12-13 at 23:16 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn