微点交流论坛

标题: 这样的微点多少让我有些伤心 [打印本页]

作者: 菜鸟想发飚 时间: 2007-1-5 21:15 标题: 这样的微点多少让我有些伤心

因为不喜欢瑞星，因为刘旭是福建人，因为。。。我选择了微点。不知道是我对微点的认识太少还是。。。微点让我有些伤心

设计上：（1）没有设置开机自启动的选项，好象装了就非要在开机的时候启动他，在服务项里设置成“手动”都不行，感觉很不舒服（2）没有永久去掉防火墙的设置，对于不上网络而又经常会接触U盘之类的移动介质的用户，浪费了这一项资源（3）那个提示注册的对话框，在每次启动微点界面时都会弹出来，很是烦人（到目前为止本人见过的也就按键精灵有这样的，但它也不过5秒钟。难道微点排除了上不了网络的用户，压根不想让这些用户使用？？？）（4）“系统自启动”项下没有强制禁止的功能（没有强制禁止的功能，把自启动的信息告诉我作何用？不解望赐教）（5）那两项有关注册表的功能，本人基本上不知道他能起什么保护作用，可能是我对此认识太肤浅吧。

病毒清除上：（1）名为COPY.EXE的文件，删除了却无法修复此木马对系统造成的破坏，好象是在驱动器右键菜单中多了个“自动播放”的选项。此类破坏卡巴也无法修复，但我希望微点可以做到，好让我对自己的选择更有信心。（2）名为SVCHOST.EXE的文件，删除后无法修复其设置的开机自启动的项目，还要手动修复。（3）还有个严重的问题，清除了以后居然还能回来。以下是杀毒日志：

时间处理结果木马名称木马进程名木马文件创建者
2007-01-04 10:33:44 处理成功未知木马 C:\COPY.EXE
2007-01-04 10:31:55 处理成功未知木马 C:\COPY.EXE
2007-01-04 10:31:35 处理成功 Backdoor.Win32.Delf.hd C:\WINDOWS\SVCHOST.EXE C:\COPY.EXE
2007-01-04 10:29:53 处理成功 Backdoor.Win32.Delf.hd C:\WINDOWS\SVCHOST.EXE C:\COPY.EXE
2007-01-04 10:29:08 用户取消未知木马 C:\COPY.EXE

2007-01-03 09:19:52 处理成功 Trojan.Win32.Delf.nw C:\MEETINGNOTE\约会提醒.EXE
2007-01-03 09:19:18 用户取消 Trojan.Win32.Delf.nw C:\MEETINGNOTE\约会提醒.EXE
2007-01-03 09:18:32 用户取消 Trojan.Win32.Delf.nw C:\MEETINGNOTE\约会提醒.EXE
2007-01-03 09:17:06 用户取消 Trojan.Win32.Delf.nw C:\MEETINGNOTE\约会提醒.EXE
2007-01-03 09:13:04 处理成功未知木马 C:\COPY.EXE
2007-01-03 09:12:52 处理成功 Backdoor.Win32.Delf.hd C:\WINDOWS\SVCHOST.EXE C:\COPY.EXE
2007-01-03 09:09:43 处理成功 Backdoor.Win32.Delf.hd C:\WINDOWS\SVCHOST.EXE C:\COPY.EXE
2007-01-03 09:09:17 用户取消未知木马 C:\COPY.EXE

2007-01-02 19:54:21 处理成功未知木马 E:\COPY.EXE
2007-01-02 19:54:18 处理成功未知木马 F:\COPY.EXE
2007-01-02 19:03:20 处理成功未知木马 D:\COPY.EXE
2007-01-02 19:03:11 处理成功 Backdoor.Win32.Delf.hd C:\WINDOWS\SVCHOST.EXE D:\COPY.EXE
2007-01-02 19:02:21 处理成功 Backdoor.Win32.Delf.hd C:\WINDOWS\SVCHOST.EXE D:\COPY.EXE
2007-01-02 18:52:23 处理成功 Backdoor.Win32.Delf.hd C:\WINDOWS\SVCHOST.EXE D:\COPY.EXE
2007-01-02 18:44:35 处理成功 Trojan.Win32.Delf.nw C:\WINDOWS\SYSTEM32\SYSNOTE.EXE
2007-01-02 18:44:25 处理成功 Backdoor.Win32.Delf.hd C:\WINDOWS\SVCHOST.EXE

作者: zzt1819 时间: 2007-1-5 21:24
楼主初识微点，认识还不够深呀

作者: Legend 时间: 2007-1-5 21:33
谢谢楼主对微点的支持。
1、可以在微点启动的情况下修改微点的服务为手动，微点随系统启动很重要，建议用户不要把微点的服务改成手动
2、最新版本已经添加了可以关闭防火墙的设置
3、注册成功后就不会有提示了
4、微点是依据程序行为判断病毒的，程序行为符合病毒行为微点就会处理，对于系统自启动信息是提供用户的参考工具，可以通过它分析系统启动项是否异常，一般的微点没有识别出的进程相对可疑。
对于微点没有彻底删除和处理干净，楼主可以加入群：16998902，让管理员帮你分析一下

作者: 菜鸟想发飚 时间: 2007-1-5 21:47
对于你的回答，两个字“失望”！
感觉有点在应付，希望是斑主没看明白我的意思，我再解释一遍。
（1）我知道它重要，问题是这个功能感觉有点象“流氓...”，问题是有时候我就是不想让它开机自启动，而且微点的自启动信息我至今不知道它写在什么地方。
（3）没看我的前提吗，上不了网络，怎么注册？？？

（4）那两木马隔天发作一次（今天好象没有了，能告诉我为什么吗？），你没看到日志吗？？？要我把TXT文件发给你吗

作者: Legend 时间: 2007-1-5 21:51
请楼主把木马日志、程序生成日志、系统自启动信息、启动日志和注册表变更日志导出发到support@micropoint.com.cn，我们分析一下，谢谢

作者: ZJD76 时间: 2007-1-5 22:26
1、杀毒软件如果不运行的话就没有防毒能力，还不如不装。不是每次开机都要启动防毒软件的话建议LZ去找个绿色版的杀软来用。

4、此病毒想彻底搞定有一定难度，因为这病毒直接感染系统核心了，就算在安全模式下也一样会启动。我碰到这病毒一般都是直接就格式化重装了，根本不考虑杀的问题。

作者: 菜鸟想发飚 时间: 2007-1-5 22:55
对于无法连接网络的用户微点是个不错的选择。
不能连接网络。想在接触移动介质时开启，其他时间关闭。

至于那什么日志，我就弄了个木马日志，其他的没弄，我帮朋友装的。现在不在那里，没办法了。

作者: linovo 时间: 2007-1-6 10:19

Quote:

设计上：（1）没有设置开机自启动的选项，好象装了就非要在开机的时候启动他，在服务项里设置成“手动”都不行，感觉很不舒服

Quote:

1、可以在微点启动的情况下修改微点的服务为手动，微点随系统启动很重要，建议用户不要把微点的服务改成手动

微点的自启动问题已经有很多人提过了，我以前的帖子也说过，好像微点并不太重视，或者拿不出合理的解决办法。版主的关于微点自启动的解释，我觉得太模式化，无法突出微点的特色：对任何一款杀毒软件来说，随机启动都非常重要，但微点与众不同之处在于它“是驱动级（核心层）的安全防护软件，具有强大的查杀病毒的能力，真正实现了能查就能杀。（摘自华军软件园微点下载页面）”这句话的意思是只要微点能识别的病毒，就算它已经加载到内存里，微点因为以服务形式启动，权限更大，所以还是能把正在活动的病毒删掉，而不用重启删除（微点的驱动级编程技术比瑞星、金山更胜一筹！我自己遇到几个例子确实是这样。说错了烦请版主指正）。如果手动启动微点，防御能力可能大打折扣。
另外，我强烈建议微点在程序的设置页面增加对自启动重要性作一个较详细的说明，让初级的用户有个了解，并且告诉他们怎样将微点自启动改为手动（有时确实有这个必要！），微点在不少地方缺少人性化的详细提示，初级用户较难上手。否则，只要有新用户使用微点，自启动这个问题必定还会有人问！版主就要疲于奔命，又要来回答。

[ Last edited by linovo on 2007-1-6 at 10:24 ]

作者: zqrsc 时间: 2007-1-6 10:27
既要求系统安全。有效杀毒。。又要不运行，不耗资源。。
就如同。又要马儿跑。。又要马儿不吃草。。
所谓皇帝不差饿兵！
楼主你何忍。。。

作者: Legend 时间: 2007-1-6 10:39

Quote:

Originally posted by linovo at 2007-1-6 10:19:

微点的自启动问题已经有很多人提过了，我以前的帖子也说过，好像微点并不太重视，或者拿不出合理的解决办法。版主的关于微点自启动的解释，我觉得太模式化，无法突出微点的特色：对任何一款杀 ...

谢谢您的建议我们会认真考虑的；

微点主动防御软件是以服务形式启动的，关闭开机启动可以参考在系统的服务管理里面设置为手动启动，重启系统后就不会再随系统自己加载启动了。
（系统服务管理：开始运行输入services.msc然后找到mpsvc service双击选择手动确定，重启应用即可）
由于微点软件是依据程序行为判断病毒的，程序有了病毒的行为微点就会处理它，根据这个特性，微点随系统启动很重要。正是因为微点在系统底层加载启动才能够更好的监控系统，有效地发现并拦截底层运行的病毒程序，达到主动防御用户系统的目的，所以为了您的系统安全官方推荐请勿手动启动微点。

作者: Legend 时间: 2007-1-6 10:50

Quote:

Originally posted by 菜鸟想发飚 at 2007-1-5 22:55:
对于无法连接网络的用户微点是个不错的选择。
不能连接网络。想在接触移动介质时开启，其他时间关闭。

至于那什么日志，我就弄了个木马日志，其他的没弄，我帮朋友装的。现在不在那里，没办法了。

由于微点主动防御软件的防御机制不需要频繁的升级病毒库也能够很好的防御突发的病毒程序，所以对于无法连接网络或者不经常连接网络的用户是很好的选择。关于注册提示那个方面问题及软件使用本身的问题，希望大家多提意见我们都会认真考虑的。
关于日志，需要用户配合提供相关的日志信息，这样我们才可以更准确的分析您的系统，即判断可能存在的原因，希望大家多多配合尽量提交完整的日志信息。

ps：日志信息对于分析问题是十分重要的，完整的日志信息可以增加对问题判断的准确性。

作者: 菜鸟想发飚 时间: 2007-1-6 14:03
谢谢8楼的朋友的回答，让我明白了微点开机启动与其他开机启动的不同。我名字取菜鸟但我不是特菜，还算懂点的，我知道开机自启动的重要性。但因为是独立不连接网络的机子，所以想在接触移动介质前开启微点，拔除移动介质后关闭，所以很需要微点设置这样的功能。（顺便提一下，在服务中设置手动无效，不信可以测试下）

另外，因为那个注册的提示框有人不满意了，要求我将其卸载。我也没办法了。

还有微点可以从“核心层”启动那那些木马是不是也可以？？？这个我就不太懂了

作者: Legend 时间: 2007-1-6 14:15
如果您发现有“核心层”启动的木马微点没有拦截您可以发到virus@micropoint.com.cn我们具体测试分析下；
关于您的在服务中设置手动无效您可以具体说下您的操作步骤及系统环境；
或者请加入微点的技术交流群：16998902我们帮您远程分析下

作者: linovo 时间: 2007-1-6 14:32

Quote:

Originally posted by 菜鸟想发飚 at 2007-1-6 14:03:
还有微点可以从“核心层”启动那那些木马是不是也可以 ...

答案是肯定可以，正邪较量永远都会有，只不过要做到这一点，病毒制造者的编程水平要求较高，推荐楼主看看这个主题——《主动防御不可完成的任务》，详细请看http://bbs.micropoint.com.cn/sho ... 9%B5%C4%C8%CE%CE%F1。该主题是由llcracker这位破解高手写的，对他的主题我在《微点参加过国际上的测试吗》里的其中一张帖子里评论过了（http://bbs.micropoint.com.cn/sho ... ghlight=&page=1）llcracker好像是光盘保护软件的破解高手，starforce4.0保护技术已经被他们攻破了，他虽然不是安全软件的专家，但凭着对操作系统的较深研究，对微点的主动防御有自己独特的见解，你看完那个主题会加深你对主动防御的认识。
补充一点建议：众多杀毒软件当中，江民、金山等大多都可以一装完就可以马上使用的，但微点的特殊设计，使得它必须重启才能工作，这就让新用户不太适应。我自己装完微点从来不重启，因为电脑配置低，重启一次要很久——麻烦，只好等下一次开电脑再用了。我想还会有不少人因为各种原因不愿意立刻重启。建议微点在装完后要求重启的提示框里再增加重启和随机启动重要性的简洁说明，这些温馨的提示很容易加上去，建议微点尽快添上，便于初级用户了解。

[ Last edited by linovo on 2007-1-6 at 14:40 ]

作者: Kinver 时间: 2007-1-6 15:23
病毒清除上：（1）名为COPY.EXE的文件，删除了却无法修复此木马对系统造成的破坏，好象是在驱动器右键菜单中多了个“自动播放”的选项。此类破坏卡巴也无法修复，但我希望微点可以做到，好让我对自己的选择更有信心。

这问题上，让我这个菜鸟来告诉你
所谓的COPY.EXE，一般被人和其他通过U盘传播的统称为AUTO病毒
中毒后会在硬盘及移动硬盘的右键选项中多了一个AUTO（自动播放）
这自动播放的当然是这个病毒文件，像copy。exe这种病毒对咔吧和微点来说
要杀简直是易如反掌，删除后应该就很难说得上有破坏了
至于右键选项问题，或许是杀毒软件的疏漏
要手动清除也很简单
1。在文件夹选项里，把“隐藏保护系统操作文件”的勾去掉
2。显示隐藏文件的勾提上
3。手动在每个硬盘目录下找到AUTORUN.INF的文件，删掉就是了
算简单的操作了

作者: Kinver 时间: 2007-1-6 15:27
对了，顺带一提的是
有人问我，U盘也有一个AUTORUN.INF是否应该删除？
我可以告诉你，把那个也一起清掉
不会影响U盘正常的自动播放功能的
本人亲身验证

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn