微点交流论坛

标题: 我这是中了什么病毒？微点发现不了源头吗？ [打印本页]

作者: bluenice 时间: 2007-1-24 18:31 标题: 我这是中了什么病毒？微点发现不了源头吗？

最近老发现微点提示发现未知木马，但是此时我根本没有打开任何网站和运行程序。最后在微点里查找，发现创建者是c:\windows\system32\ftp.exe

不知道是那个程序调用了ftp.exe下载病毒到系统目录，每次下载的东西都不一样。我用kv在线杀毒扫描C：，扫描不到任何病毒。后来用微点的扫描可疑文件，也未发现。ftp.exe此文件用在线多引擎扫描也不是病毒。

难道微点就不能找到源头？这几天时不时出现这种情况。
而且，昨天我系统的开始菜单里的“关闭系统”和“注销”还有“运行”这三个按钮都没有了！重启后微点没有作出任何提示。

估计就是那个病毒下载的后面搞的破坏，但是微点怎么没有反应？？

上传一张今天刚做过系统后，被微点抓到的。

作者: zsdstrong 时间: 2007-1-24 19:04
把程序上报给微点呀

系统的开始菜单里的“关闭系统”和“注销”还有“运行”这三个按钮都没有了。。对于这点
可能是你在微点的注册表修复里选了全部锁定造成。
先看看注册表修复选项解锁看看

作者: Legend 时间: 2007-1-24 19:12
请把此程序压缩发送至 virus@micropoint.com.cn

再把你发的文字全部复制进去发过来

[ Last edited by Legend on 2007-1-24 at 19:13 ]

作者: Legend 时间: 2007-1-25 09:47
楼主的情况请问您的操作系统版本？您具体的上网方式，是单机还是通过局域网上网？请把您的微点安装目录下的mp6目录压缩发到support@micropoint.com.cn.
关于“开始菜单里的“关机”和“运行”按钮都没有了”您可以在微点的注册表修复中选择解锁并重启试试看。
方便的话请加入微点的技术交流群：1471553

作者: Legend 时间: 2007-1-29 12:03
通过您发送过来的微点的进程日志分析（您可以打开微点的“进程日志”自行查看），ftp.exe是由cmd.exe启动的，而cmd.exe是由sqlservr.exe这个进程启动的,初步怀疑是您的sqlserer遭到漏洞攻击或者您的认证口令过于简单或者遗失，建议您补打sqlserver的漏洞补丁，并更改sqlserver的认证口令
文件名时间事件 PID PPID

FTP.EXE C:\WINDOWS\SYSTEM32\FTP.EXE 2007-01-27 18:20:17 进程启动 3932 1592
CMD.EXE C:\WINDOWS\SYSTEM32\CMD.EXE 2007-01-27 18:20:17 进程启动 1592 3316
SQLSERVR.EXE C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE 2007-01-27 16:01:31 进程启动 3316 740
请把您的ftp生成的文件压缩加密发到virus@micropoint.com.cn我们具体分析下（可以在微点的有害程序隔离区中右键另存然后发送）

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn