微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 微点对 Win32.Parite.a 无效,请验证!!!!!!  

 42  2/5  <  1  2  3  4  5  > 
作者:
标题: 微点对 Win32.Parite.a 无效,请验证!!!!!!
ballpointpen
中级用户





积分 436
发帖 434
注册 2006-6-20
#11  

#5楼超版:微点官方测试,该病毒被微点拦截并清除;
alabowunv朋友:该病毒,微点不能识别。
到底应该信谁的?

[ Last edited by ballpointpen on 2006-8-30 at 22:47 ]

※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-30 22:45
查看资料  发送邮件  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#12  



  Quote:
Originally posted by alabowunv at 2006-8-30 22:44:
或者,有兴趣的朋友,可以去弄个这个病毒试一下,如果你怕重要文件被感染,因为有些文件被感染后,虽然清除了,但是还是会被破坏,可以先把其他几个盘的盘符去掉,这样最多就一个C盘被感染!!!大家一试就知道了 ...

你有样本吗 好测试下

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2006-8-30 22:48
查看资料  发短消息   编辑帖子
alabowunv
新手上路





积分 32
发帖 32
注册 2006-8-23
#13  

我用瑞星,把他都干光,今天晚上下班回来,又杀了两次,终于没有了,可惜我的很多程序都要重新安装!不过既然知道是什么病毒,因该好找的。你愿意帮我测试,我上网上找找这个样本!~~

※ ※ ※ 本文纯属【alabowunv】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-30 22:54
查看资料  发送邮件  发短消息   编辑帖子
ballpointpen
中级用户





积分 436
发帖 434
注册 2006-6-20
#14  



  Quote:
Originally posted by alabowunv at 2006-8-30 22:41:
不知道微点日志里有没有记录是否是自动开启,如果哪里可以找,你告诉我,我把日志导出来,或者抓屏给你看

系统分析_系统自启动信息里有记录:

程序名称             启动方式

MPSVC.exe           服务

[ Last edited by ballpointpen on 2006-8-30 at 23:06 ]

※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-30 22:57
查看资料  发送邮件  发短消息   编辑帖子
alabowunv
新手上路





积分 32
发帖 32
注册 2006-8-23
#15  

在网上直接搜索好象都没有的,昨天晚上,因该是早上凌晨装瑞星的时候,都是直接删除的,没有隔离起来,该如何!我不知道上哪里去找样本!平时不搞这行业的!!该如何~~~

※ ※ ※ 本文纯属【alabowunv】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-30 23:00
查看资料  发送邮件  发短消息   编辑帖子
alabowunv
新手上路





积分 32
发帖 32
注册 2006-8-23
#16  

有图,这个总信了吧,以前只开个天网,只我感觉都还可以,端口什么的,能关的够关掉,没装微点前,系统启动,算上天网只有17个进程!我也是个玩系统的人,不会天真到这种地步~

附件 1: 2312.JPG (2006-8-30 23:16, 152.99 K,下载次数: 30)


※ ※ ※ 本文纯属【alabowunv】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-30 23:16
查看资料  发送邮件  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#17  

没有人怀疑楼主的诚信;
大家只是为了确定问题的原因;
按照微点的杀毒原理,这个病毒确实是可以防住的,因为它会试图去修改可执行的文件,微点肯定会报的,报警信息应该是发现可疑程序,试图修改可执行文件,这时微点会挂起这个行为,然后提示用户是否阻止其修改,用户选择阻止后,微点又会提示用户是否删除这个文件;
由于微点是依据行为判断病毒的,所以微点随系统启动是很重要的,它需要通过他自己的驱动监控系统中进程的运行状况,并自己分析是否属于正常的行为;
楼主的情况可能是微点暂停时被感染的,因为要是微点正常运行着,是不允许其他任何程序对微点自身的文件进行操作的,您可以试试看在微点运行时手工去修改微点安装目录下的文件,结果自然明了;

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-31 10:08
查看资料  发短消息   编辑帖子
idea
注册用户





积分 61
发帖 61
注册 2006-8-27
#18  

#1  微点对 Win32.Parite.a 无效,请验证!!!!!!

这个Win32.Parite.a病毒,是个老病毒,专门感染exe文件
微点却没有任务反映,今天玩游戏竟然开不起来,下了个杀毒软件一下,哈哈,发现原来中标了```````
微点的版本号附图!
请验证!!!!!!
----------------------------------------------------------------------------------------------------------------

从楼主的第一行描述来看,应该对Win32.Parite.a这类病毒比较了解

可从第二行描述来看,却让人产生一些疑问:

疑问1: “微点却没有任务反映,” ---这句说明微点还在运行,只是没有对病毒感染行做出反应,但后面又补充说微点本身被感染了,查了一下网上对Win32.Parite.a的分析报告--如果程序被感染了Win32.Parite.a,程序是不能运行的--这与“微点却没有任务反映”这句话有着不易察觉的矛盾关系 ;

疑问2: “今天玩游戏竟然开不起来,下了个杀毒软件一下,哈哈,发现原来中标了```````” ,从这句可以看出楼主发现系统异常是因为游戏玩不了,所以去下载杀软查毒,才知道被感染。。。

The virus searches for Win32 EXE PE files with .scr and .exe extensions on all logical drives of computer, and also in shared resources of local network, and infects them.
这段是卡巴斯基网站上关于Virus.Win32.Parite.a的一段描述,说的是这个病毒会搜索本地所有驱动(以及局域网内的共享资源)上的.scr和.exe文件,然后感染它们。

从楼主贴图上也可以看出,大量的system32及Program Files目录下的文件被感染,既然如此,Windows系统文件也应该不会例外,而众所周知,Windows XP系统有自身程序完整性保护的功能,也就是说如果Windows自身程序受到病毒感染的话,Win
logon.exe会尝试恢复被感染的文件,同时弹出窗口来提示用户(界面上大概意思是:正常运行Windows 所需的文件已被替换成无法识别的版本。要保持系统的稳定。。。。。。。。。现在插入××× CD-ROM)

所以,楼主应该是在该病毒一开始感染时,就会发现系统的异常,这时应该是很多程序无法运行,而不应该是发现游戏玩不了时才有感觉,

以上是我个人两点疑问,分析得不知对不对?仅供参考哈~

※ ※ ※ 本文纯属【idea】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-31 12:08
查看资料  发短消息   编辑帖子
alabowunv
新手上路





积分 32
发帖 32
注册 2006-8-23
#19  



  Quote:
Originally posted by idea at 2006-8-31 12:08:
#1  微点对 Win32.Parite.a 无效,请验证!!!!!!

这个Win32.Parite.a病毒,是个老病毒,专门感染exe文件
微点却没有任务反映,今天玩游戏竟然开不起来,下了个杀毒软件一下,哈哈,发现原来中标了`````` ...

"从楼主贴图上也可以看出,大量的system32及Program Files目录下的文件被感染,既然如此,Windows系统文件也应该不会例外,而众所周知,Windows XP系统有自身程序完整性保护的功能,也就是说如果Windows自身程序受到病毒感染的话,Win
logon.exe会尝试恢复被感染的文件,同时弹出窗口来提示用户(界面上大概意思是:正常运行Windows 所需的文件已被替换成无法识别的版本。要保持系统的稳定。。。。。。。。。现在插入××× CD-ROM)"

这个病毒我也是中过好几次,有些程序被感染后,就无法正常运行,比如我玩的游戏,EVE。当时玩EVE的时候,我还以为是游戏的BUG,在那边论坛里也问了好久,同时很多玩家跟我出现一样的情况,游戏重装,运行一次可以,关掉再运行就提示错误,因为我系统也做的比较好,一开始不会怀疑自己中毒了,所以重装游戏三四次,问题依旧,把日志发给EVE(光通代理的),也找不到原因。但是有些程序中了这个病毒后,他照样可以正常运行!!这些程序很多,QQ,TM,都可以,但是这次中招后,先是游戏开不起来,然后TM也开不起来,我马上想到这个病毒,于是就下来杀毒软件杀,至于楼上这为兄弟提到 XP系统自身的文件保护功能,我想可能已经被我破坏掉了,我装好系统的时候,已经把系统里很多文件都给删除了,比如 DLL的备份,一些没用的输入法``弄这些的时候有已经碰到文件保护了,那时候就已经把他弄掉了。

还有关于微点自身文件怎么被感染的,楼上的这为兄弟说,可能是在我暂时暂停微点的时候被感染的,这个就不会了,既然用上了,就不手动去暂停他!开着也不占资源,二也没妨碍其他程序运行!
现在说到这种份去,好象是我跟  人争似的,我发帖的原意并不是如此``````
不过我性格就是这样,你有理由,你能说出个所以然来,我就服你,你敷衍我```哈哈````中国人是顽强滴````哈哈

[ Last edited by alabowunv on 2006-8-31 at 16:46 ]

※ ※ ※ 本文纯属【alabowunv】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-31 16:45
查看资料  发送邮件  发短消息   编辑帖子
alabowunv
新手上路





积分 32
发帖 32
注册 2006-8-23
#20  

还有一点,我不怎么想说,大家可以下载个 QQ2006B3版 安装一下,就会发现微点会提示,安装程序释放的临时文件有个是木马,这个大家很好验证``````可以试一试
呵呵~~~
EVE游戏的安装程序,最后释放的反安装程序,微点也提示是木马。
NBA2005的安装程序,释放的临时文件,也提示是木马(这个程序是BT下的,是在别人机上碰到的,同时瑞星监控也开,没有提示!)
大家可以做个参考```有者改之,无者加冕~~~伟人说的话嘛~~

※ ※ ※ 本文纯属【alabowunv】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-31 16:55
查看资料  发送邮件  发短消息   编辑帖子
 42  2/5  <  1  2  3  4  5  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号