微点交流论坛

标题: 微点新人，病毒反馈，相关信息已同时发往技术邮箱，在论坛再发一下，找高手研究一下 [打印本页]

作者: jiqbbj 时间: 2010-7-17 15:26 标题: 微点新人，病毒反馈，相关信息已同时发往技术邮箱，在论坛再发一下，找高手研究一下

电脑的操作系统server2003，装的是SQl2000,服务器刚装好时没有在意，管理员密码也没设，过了几天又去这个机了上看时，发现已经中了毒了，甚至被人入侵进来，然后赶紧补救，将黑客建的用户，传过来的文件都删掉，然后用卡巴斯基又杀了一遍，又用冰刃在systme32找到一些可以辨别的病毒衍生物，但是可能有些文件做过免杀了，卡巴是查不出来，我感觉肯定还有东西在潜伏着，用冰刃的进程创建监视感觉太简单，就想到微点主动防御了，以前确实没用过，但是针对这种免杀病毒，肯定得用这个了。从十四号装上，一直没有发现可疑的东西出来，直到十六日，出现net.exe这个进程，不停启动中止，有可能是启动就被微点关掉，然后是cscript.exe这个进程，过程一直持续到晚上十点，然后出ALG.exe这个进程退出，然后ICACLS.exe这个进程开始不停启动中止，然后又出理cacls.exe进程不停启动中止，然后net1.exe进程不停启动中止，到晚上又出现CMD.exe,FTP.exe,不知他前期一直没有运行成功，最后也不知怎么成功的，然后就是今天早上发现中毒了。其中最初的一个是依靠SQLSERVE.exe创建的，创建了一个MDSQL.exe，然后又出现一个MCSQL.exe，这些东西出来全部让卡巴的监控杀掉，其中的一个APPMGMT.CMD被微点以未知木马杀掉，但是我大致找到一下，启动项有个叫垃圾清除.vbs的文件没有被防住，也没有杀掉，可能是钻了微点监控的规则空子，用冰刃找了一下system32，还有三个（也许还有更多，能力有限）cmd.txt，SysS.xml，windows321.sys，这三个文件也没有提示，卡巴报是没毒，但我第一次杀毒就见过这三个文件，手动删除，现在又有了，应该是病毒。技术支持已经生成，请微点专家帮我看看这种情况怎么处理吧。

作者: Legend 时间: 2010-7-17 15:39
楼主您好，请您通过论坛短消息的方式将您的发件邮箱给我们发送下，以便我们尽快分析此问题。

作者: HONEY0806 时间: 2010-7-17 15:42
汗，楼主很明显是在已经中毒的机器上安装的微点主动防御软件，可能在安装微点主动防御软件以前很多重要的系统进程已经被感染，如果可能的话还是建议楼主重新安装系统再安装微点主动防御软:lol:件吧:D

作者: meihaosuda 时间: 2010-7-17 15:44
这么复杂，重装系统完事

作者: jiqbbj 时间: 2010-7-17 16:16
呵呵，重装是快，是省事啊，但是下次碰上这个毒你不还是一点经验没有吗，这种毒的感染机理不还是没清楚啊，我现在主要是要找出它调用sqlserve这个进程达到注毒的原理是啥啊，所以才出来，让微点的专家看看啊，而且生成的一些文件，明显微点没有注明出来啊，不反馈，软件怎么能提高啊~

作者: jiqbbj 时间: 2010-7-17 16:20

Quote:

Originally posted by HONEY0806 at 2010-7-17 15:42:
汗，楼主很明显是在已经中毒的机器上安装的微点主动防御软件，可能在安装微点主动防御软件以前很多重要的系统进程已经被感染，如果可能的话还是建议楼主重新安装系统再安装微点主动防御软:lol:件吧:D

开始的时候已经用冰刃加卡巴加大蜘蛛查杀过的，显性的病毒是肯定没有的，没见是十四号装的主防，一直监控到十六号，潜伏的文件才又开始发作了，看日志，微点似乎全部把它扼制了，但是实际后来，病毒文件还是生成了，我是想知道他到底是怎么做到的~

作者: jiqbbj 时间: 2010-7-18 09:46
版主，我这边出现的这种情况找到原因了吗？

作者: Legend 时间: 2010-7-18 10:07
请楼主提供一下微点的技术支持信息文件(辅助功能-->生成技术支持信息)压缩后请发送到 support@micropoint.com.cn 邮箱，并简要说明情况，我们具体进行测试分析，谢谢您对微点的支持。发送时请在邮件中注明本帖链接，并在发送后请将您的邮箱地址通过论坛短消息发给我，便于我们及时跟踪处理
如果楼主发送了，请楼主通过]论坛短消息[/url]提供一下您发件箱的地址。

作者: jiqbbj 时间: 2010-7-18 18:09 标题: 我又发了一遍~请查收，版主~

http://mpicture.micropoint.com.c ... c9f54160be5cb1f20a6

作者: Legend 时间: 2010-7-18 18:27
感谢楼主的反馈，我们分析之后会立即与您联系，感谢您对微点软件的支持。

作者: jiqbbj 时间: 2010-7-20 11:17
怎么样了，版主，苦等解答中~~

作者: Legend 时间: 2010-7-20 11:29
楼主反馈的问题我们正在分析中，请您耐心等待。

作者: Legend 时间: 2010-7-20 18:02
楼主反馈的问题微点已经解决，请您等待微点的更新即可。
此主题暂做关闭主题处理，如有其他问题，请您另开新帖讨论！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn