微点交流论坛 - 反病毒 - 如何修复威金病毒感染文件及微点清除病毒方式的小缺陷

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 如何修复威金病毒感染文件及微点清除病毒方式的小缺陷

青豆
高级用户

超级发动机

积分 523
发帖 489
注册 2006-9-28
来自汹涌澎湃浮沉混沌湍流

#1 如何修复威金病毒感染文件及微点清除病毒方式的小缺陷

比如程序SAFlashPlayer.exe被威金病毒感染后，装上微点，双击SAFlashPlayer.exe，微点会显示发现威金病毒并清除，同时微点会清除被感染的exe原文件。

那么我们来看看威金病毒对exe文件作了什么操作，导致微点认为它属于危险行为。下面有一个批处理文件是从SAFlashPlayer.exe中剥离出来的，它的代码如下：

:try1
Del "C:\TDdownload\SAFlashPlayer.exe"
if exist "C:\TDdownload\SAFlashPlayer.exe" goto try1
ren "C:\TDdownload\SAFlashPlayer.exe.exe" "SAFlashPlayer.exe"
if exist "C:\TDdownload\SAFlashPlayer.exe.exe" goto try2
"C:\TDdownload\SAFlashPlayer.exe"
:try2
del ".bat"

批处理文件的意思是删除SAFlashPlayer.exe并新建SAFlashPlayer.exe.exe，这的确属于危险行为。但是由于这是一个批处理文件，它和exe文件捆绑在一起，当批处理文件执行时，微点以为SAFlashPlayer.exe进行了危险操作，于是提示删除病毒及其衍生物，这样会导致用户的exe文件被删除。
实际上分离出来的exe文件并没有危险，它属于正常程序，可以正常执行。比较好的方式是将批处理文件剥离出来并删除即可，这样就不会“误删”exe程序了。这样可以减少用户的损失。

关于如何剥离bat文件：右键单击被感染exe文件，点“运行方式”，会弹出一个窗口，钩选“保护我的计算机和数据不受未授权程序的活动影响”，点确定，然后刷新，即可剥离出bat文件。
当用户为Administrator时，可能无法显示上述内容。

例：下图中的WTLINK2.EXE为一个游戏程序，已被感染，微点提示发现威金病毒并将WTLINK2.EXE删除。

[ Last edited by 青豆 on 2007-1-21 at 16:54 ]

附件 1: 2.jpg (2007-1-17 21:13, 24.69 K,下载次数： 38)

附件 2: 3.jpg (2007-1-17 21:13, 23.35 K,下载次数： 30)

※ ※ ※ 本文纯属【青豆】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-1-17 21:13

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号