Board logo

标题: 微点报的nvcpl.dll大量生成文件准确吗?附病毒生成图 [打印本页]
作者: ere95588     时间: 2010-3-14 20:44    标题: 微点报的nvcpl.dll大量生成文件准确吗?附病毒生成图

微点报的nvcpl.dll大量生成文件准确吗?看图
很多都是nvcpl.dll创建的,,包括我刚不小心下载的病毒它也有参与!这个微点报的准吗?

系统是上海政府版sp2,自动升级成sp3。

刚才从http://www.**已屏蔽**.com/down_38606.aspx下载电子书《口才训练一百天》,是exe格式,以为是正常程序,双击后nvcpl.dll生成“口才训练 一百天.exe"文件和另一个文件,通过WSCRIPT脚本运行ftp和其他程序的方式下载病毒,期间微点主动防御一直未报警,直到生成带特征码的2.exe和win2.exe微点报警,脚本程序会sleep一会儿才运行下一个程序,我是把WSCRIPT.EXE进程干掉才删除的程序目录,这个程序这么多动作最后还是因为特征码”木马名称:Trojan.win...“才搞掂啊。不幸中的万幸啊

我以前是预升级用户,买新电脑装系统把本论坛旧的用户名忘了,预升级还有5个月也没了,惨

[ Last edited by Legend on 2010-3-14 at 20:55 ]
附件 1: 未命名.PNG (2010-3-14 20:44, 183.64 K,下载次数: 19)


作者: Legend     时间: 2010-3-14 21:07
感谢楼主的反馈,楼主可以将样本文件和被报警程序(如果已被处理,可以从“有害程序隔离”里恢复或另存为出来)以及微点技术支持信息(微点主界面--辅助功能--生成技术支持信息--勾选包含相关文件--选择桌面路径--保存)一起打包support@micropoint.com.cn 邮箱,并简要说明情况,我们具体进行测试分析(发送时请在邮件中注明本帖链接,便于我们及时跟踪处理)。
作者: ere95588     时间: 2010-3-14 21:12
样本就是我主贴里面的链接下载的,有需要自己下载测试吧,样本文件和被报警程序都被我清除干净了
作者: Legend     时间: 2010-3-14 21:23
感谢楼主的反馈,我们具体分析测试一下,感谢楼主的反馈!
作者: 不能注册     时间: 2010-3-15 08:24
看我发的图片!我的问题有人回答一下吗?nvcpl.dll真的创建了这么多文件吗?不是说是N卡的部分驱动吗?是微点错误?还是不是??安装ttplayer竟然创建者是nvcpl.dll?

btw:这个病毒竟然在Google搜索   口才训练一百天 的时候排序第一,太牛了。怎么做到的?


搜索老帖找到以前的用户名了,暗爽ing



再说一下下载链接,我顶楼的是网页地址,病毒体下载是:
http://www.400disk.com/***已屏蔽 ... %bb%b0%d9%cc%ec.rar
闲杂人等不要下啊,到目前为止微点清除不干净,需手动删除,该病毒运行时微点防火墙开“智能识别”,不知为啥微点不提示病毒联网?

[ Last edited by Legend on 2010-3-15 at 09:04 ]
作者: 不能注册     时间: 2010-3-15 10:19
病毒利用微软的ftp程序下载木马!所以微点防火墙开“智能识别”不提示不报警
作者: Legend     时间: 2010-3-17 11:25
楼主您好,您反馈的该文件(口才训练一百天.exe)本身的程序行为并不符合病毒木马的特性,所以微点主动防御软件依据行为判断没有直接对这个文件报警处理。
当该程序释放的文件试图下载其他有害程序或者做有害行为时,微点主动防御软件是可以有效拦截处理的。
目前我们已经提取特征处理,微点更新后即可直接对这个文件本身进行处理。
此主题暂做关闭主题处理,如有其他的问题,请另开新帖讨论。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn