Board logo

标题: 发现一个可疑程序,微点没有报警,请工程师看一下 [打印本页]
作者: ycjlj     时间: 2007-1-8 22:02    标题: 发现一个可疑程序,微点没有报警,请工程师看一下

刚刚升完级,诊断可疑程序,发现一个,请工程师帮忙看一下。
附件 1: 4.JPG (2007-1-8 22:02, 83.52 K,下载次数: 37)


作者: Legend     时间: 2007-1-8 22:13
你把这个文件传给我们 我们分析一下virus@micropoint.com.cn
作者: ycjlj     时间: 2007-1-8 22:28
我显示了所有的隐藏文件(包括隐藏的系统文件)但是找不到这个文件。
然后搜索了整个磁盘,也找不到这个文件。
电脑没有什么异常,不知是怎么回事。

[ Last edited by ycjlj on 2007-1-8 at 22:30 ]
作者: theodorebagwell     时间: 2007-1-8 22:58
我也是 和你的情况一样 C:\WINDOWS\SYSTEM32\DRIVERS\KPROCCHECK.SYS  说是隐藏文件 可是我就是找不到啊!!



[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="KPROCCHECK"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="KPROCCHECK"
注册表里是这个

[ Last edited by theodorebagwell on 2007-1-8 at 23:05 ]
作者: ycjlj     时间: 2007-1-8 23:00
补充:在微点中右击后,点击程序信息,微点提示:无法读取程序信息;点击进程信息,内容为空,具体见图;点击结束进程,提示无法结束该进程;点击删除到隔离区,提示是否上报,确定后提示:未能上报此程序,接着提示:结束该进程并删除可疑程序文件到隔离区?确定后提示:成功删除可疑程序,确定后可疑程序没有了。但重新诊断后该可疑程序又出现了。如果将它标识为可信程序,重新诊断后仍然有它。

[ Last edited by ycjlj on 2007-1-8 at 23:01 ]
附件 1: 2.JPG (2007-1-8 23:01, 31.14 K,下载次数: 70)


作者: lipeng770     时间: 2007-1-8 23:01
同楼上几位的问题一样。能查不能删。系统也找不到。删掉一查又出现了。
作者: theodorebagwell     时间: 2007-1-8 23:06
恩 纳闷中~~  帮5楼的一模一样   我估计是中了ravmone.exe那个毒 杀不干净而已

[ Last edited by theodorebagwell on 2007-1-8 at 23:10 ]
作者: Legend     时间: 2007-1-8 23:13
你可以加入到我们的QQ群,我们的管理员帮你看看具体的情况。群号:16998902
作者: ycjlj     时间: 2007-1-8 23:17
好的,我的QQ是:416946500,昵称:嘉陵江
作者: nema777     时间: 2007-1-9 01:37    标题: 会不会是雅虎助手留下的?



  Quote:
Originally posted by ycjlj at 2007-1-8 23:00:
补充:在微点中右击后,点击程序信息,微点提示:无法读取程序信息;点击进程信息,内容为空,具体见图;点击结束进程,提示无法结束该进程;点击删除到隔离区,提示是否上报,确定后提示:未能上报此程序,接着提 ...

我以前也碰到这类似的事情,也是在DRIVERS里,后缀名也是SYS,在网上逛了半天好象说是这是什么采用驱动级保护的,后来一个网友发给我金山的专查流氓软件的东东终于把它干掉了!
我也是能找到它,用360杀不死的,提示可以删除,重启上来再查,还是在的,手动删也行,删完一刷新文件夹,还在,呵呵
作者: ycjlj     时间: 2007-1-9 11:51
今天中午回家打开电脑,首先用微点诊断,奇怪的是昨晚出现的可疑程序没有了。这是怎么回事呀版主?
作者: Legend     时间: 2007-1-9 11:59
请问您具体做过哪些操作?
您的情况我们已经找到问题并解决,请等待新版本的升级
作者: ycjlj     时间: 2007-1-9 12:14
昨晚出现这个现象后加群,管理员远程看过后我就关机睡觉了,只到今天中午回家开电脑,应该没有什么操作。(我的电脑没有其它的人开启的。)
作者: Legend     时间: 2007-1-9 12:39
您的情况请等待新版本升级
作者: ycjlj     时间: 2007-1-9 18:37
谢谢版主!
今天晚上我装了AVG7.5,然后又卸载了,用微点诊断发现一个可疑程序,和AVG有关(见图)。但我重启电脑再诊断,发现可疑程序没有了。联想到昨晚的情况,是不是卸载软件后的残留信息被微点当作可疑程序了呢?

[ Last edited by ycjlj on 2007-1-9 at 18:39 ]
附件 1: 1.JPG (2007-1-9 18:37, 14.62 K,下载次数: 73)


作者: andyliuxp     时间: 2007-1-9 21:20
各位,这是因为你们使用过冰刃之后.冰刃自动产生的一个驱动.属于正常,不需要管它.
作者: wcflin     时间: 2007-1-9 21:23
我这里也有,症状和楼主一样。不过文件是
C:\WINDOWS\SYSTEM32\DRIVERS\AFH1VDNE.SYS



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn