微点交流论坛 - 微点软件使用交流

1/2

霜华千里
新手上路

积分 27
发帖 27
注册 2010-6-21

#1 问两个问题

电脑装的是微点主防跟微点杀毒，前几天用杀毒查出一个病毒文件，导出日志，发给客服邮箱。
时间                病毒名称                               处理结果    病毒路径/木马地址
2010/06/30 21:01:36 Trojan-PSW.Win32.OnLineGames.iga       删除失败    D:\软件\大话西游OnlineII\dbghelp.ini
-------------------------------------------
成功导出的日志数： 1 条

这个是微点杀毒软件的扫描日志，附件是杀毒软件误报的大话西游的文件，麻烦你们研究一下

然后微点客服给了回复如下
尊敬的用户，您好！
您的邮件已经收到，感谢您及时联系微点客户服务人员！该文件为病毒文件，不属于误报，感谢您的反馈。

注释：

PE文件：Win32环境下的可移植执行体。

dll文件：动态链接库文件，由其它程序调用，单独无法运行。

已损坏的PE文件：经第三方程序修改或人为造成文件损坏。

非PE格式的病毒文件：泛指网页木马、脚本病毒、宏病毒、恶意代码等。

非病毒文件：不含有恶意代码的文件。
=========================
查出的病毒文件是大话西游2的文件，我还是不明白，为什么她是病毒文件呢?
被查出来的大话文件部分内容是：
          Lp Dp <p 4p ,p $p [魔界]  [地界]  [人界]  [天界]  [推荐]  [未知]  %04X %02X r 0 DH2 %s  %d  网络嗅探器.exe  1 s.obj ' 文字='  %s_%d%s .jpg \    User32.dll  Process32Next Process32First  CreateToolhelp32Snapshot / //  %s%s .jpeg ReadFile error %s
[ 大话西  等待破解 FLW HOOK 出错侰
Kernel32.dll SearchMemoryAddress 异常 WinInet UFU                                                                                                          ??1?22>2G2q22???p3?,4????E5u5????????? 686I6j6?�647?7u7€7???8B8M8Z8h8v8????????????
999#919;9A9S9t9??????�9
:::$:,:3:8:=:B:H:U:]:??;0;F;k;??7<v<????�<-=i=t=??    {2G5o5?
66????777J7Z7`7n7|7??????88B8m8v8~8????????????999'919G9U9f9w9?????
这个大话文件我打开看都是这样的乱码

还有，我买了正版的主防，领取了正版的杀毒序列号，并且都注册使用了。为什么主防老是弹出那个叫人领取微点杀毒正版序列号的对话框呢？

[ Last edited by 霜华千里 on 2010-7-3 at 16:38 ]

※ ※ ※ 本文纯属【霜华千里】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-7-3 16:36

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

楼主您好，如果您对此文件的分析结果有疑问，您可以将此样本文件发送至virus@micropoint.com.cn 邮箱，我们将重新测试分析。
对于领取微点杀毒软件序列号的这个活动，等段时间将不会在显示了，给您带来的不便敬请谅解。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2010-7-3 16:45

霜华千里
新手上路

积分 27
发帖 27
注册 2010-6-21

我说版主呀，怎么微点杀毒跟金山急救箱还分工合作啊，微点查出来一个，金山查出来两个。
这次微点把那个大话的病毒文件给删了，上次没删除掉

※ ※ ※ 本文纯属【霜华千里】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-7-3 17:16

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

感谢楼主的再次反馈，楼主可以将金山急救箱扫描出来的样本发送至virus@micropoint.com.cn邮箱，随信请附带本贴链接，会有专人进行分析测试。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2010-7-3 17:20

霜华千里
新手上路

积分 27
发帖 27
注册 2010-6-21

好吧，我答应你。
金山急救箱没有导出日志的功能，我把两个文件还原了，然后发给你们邮箱了。
你们要中了病毒可不要怪我。
还有，我发现你好像不是技术人员，只是个普通客服人员。

※ ※ ※ 本文纯属【霜华千里】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-7-3 17:32

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#6

感谢楼主的再次反馈，关于楼主反馈的问题，virus邮箱将把分析结果回复至您的发件邮箱当中，请楼主关注我们回复的邮件。感谢楼主对微点的支持。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2010-7-3 17:38

littlefritz
版主

微点帮帮团团长

积分 3505
发帖 3502
注册 2009-5-23
来自微点帮帮团

#7

楼主看到过多少病毒不是乱码的？晕。病毒都是经过处理的，怎么可能让普通人知道他想做什么呢？另外，上传到virus邮箱，反病毒工程师会分析您提交的样本，也不会中毒，请放心。

※ ※ ※ 本文纯属【littlefritz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-7-4 00:44

可恶的梦
注册用户

积分 57
发帖 57
注册 2010-3-1

#8

好深奥的问题

※ ※ ※ 本文纯属【可恶的梦】个人意见，与【微点交流论坛】立场无关※ ※ ※

梦魔

2010-7-4 11:25

霜华千里
新手上路

积分 27
发帖 27
注册 2010-6-21

Quote:

Originally posted by littlefritz at 2010-7-4 00:44:
楼主看到过多少病毒不是乱码的？晕。病毒都是经过处理的，怎么可能让普通人知道他想做什么呢？另外，上传到virus邮箱，反病毒工程师会分析您提交的样本，也不会中毒，请放心。

人家是学中文的，又不是专业人士嘛，人家只喜欢看漂亮姑娘，不喜欢看病毒代码嘛。
我还想问一下，病毒文件当作附件发送的时候，我用的是网易邮箱，网易用卡巴斯基杀毒引擎对附件扫描，会不会附件发到半路的时候，就被卡巴一扫描，给干掉了?再说了，医生都会生病呢，反病毒工程师怎么就不能中病毒了呢？哼~

※ ※ ※ 本文纯属【霜华千里】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-7-4 13:35

netsaga
注册用户

积分 90
发帖 88
注册 2009-6-21

#10

亲爱的.经过个人观察你那个.INI文件,还有金山报告的那两个病毒问题.我想给出以下猜想和解释:
RUN.EXE
只运行一次.EXE
dbghelp.ini

这三个文件应该怎么说呢,应该是一个互相配合的病毒.
只运行一次.EXE的作用大概来说是写注册表启动一类的.目的是将RUN.EXE写到启动项

RUN.EXE的作用呢.应该是用来启动dbghelp.ini文件的

dbghelp.ini文件.有相关系统经验的人都知道这不是一个正常的INI文件应该有的内容.我们分析以下dbghelp.ini这个文件.

[魔界]  [地界]  [人界]  [天界]  [推荐]  [未知]  %04X %02X r 0 DH2 %s  %d  网络嗅探器.exe  1 s.obj ' 文字='  %s_%d%s .jpg \    User32.dll  Process32Next Process32First  CreateToolhelp32Snapshot / //  %s%s .jpeg ReadFile error %s
[ 大话西  等待破解 FLW HOOK 出错侰
这段代码.应该说说开头那几个是大话系统中类似门派的东西吧.

网络嗅探器.exe  1 s.obj ' 文字='  %s_%d%s .jpg 这个网络嗅探器我不知道是要命名某个文件.还是这个程序通过Process32Next Process32First函数来检测防止有人嗅探它发送出去的信息.

[ 大话西  等待破解 FLW HOOK 出错侰这句话大概说吧.要不就是发送出去的文件头或者是通过上面的嗅探获取游戏账号信息.里面的.JPG不知道是不是大话这个游戏有密保卡的功能??没玩过

SearchMemoryAddress 明显是通过内存搜索获取游戏信息.........

总结下:dbghelp.ini 这个文件应该是某个组合式病毒的一个实际盗号功能程序伪装.然后有RUN.EXE来运行它. dbghelp.ini通过网络嗅探.进程对比.内存搜索.桌面抓图等等功能来盗号...........

结论:这玩意咋看都不是一个INI文件...................

※ ※ ※ 本文纯属【netsaga】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-7-4 19:50

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号