微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 预升级反馈专区 » 微点无法在已中“磁碟机”的电脑中安装  

作者:
标题: 微点无法在已中“磁碟机”的电脑中安装
keai958
注册用户





积分 118
发帖 118
注册 2007-7-27
#1  微点无法在已中“磁碟机”的电脑中安装

前几天遇到了,本想安装微点帮其解决,但安装中被病毒拦住了。

最后没办法,手工在PE系统中结合DOS把系统中的病毒删掉了,发现它破坏了多处注册表,一是系统属性的type值改成了radio...,二是删除了与安全模式相关的两个项 {4D36E967-E325-11CE-BFC1-08002BE10318} ,三是加入了AppInit_DLLs键值,启动方式是在关机时把文件放入启动文件夹(处理另一个时发现感染了userinit.exe,没搞清楚是否是同一病毒行为),系统中大部分小exe文件被感染

已经发现微点将其加入了病毒库,其主要组件分别被命名为virus.win32.xorer.kc/jm/jn/jp,但官方是否能想办法在已经中毒的系统中能够安装微点呢?期待

※ ※ ※ 本文纯属【keai958】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-16 13:36
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请楼主将命名为virus.win32.xorer.kc/jm/jn/jp的病毒样本另存为出来,再 加密压缩(密码:virus),发送到我们virus@micropoint.com.cn 邮箱,我们好及时分析测试一下,随信请附带此贴链接,以及微点技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-3-16 14:05
查看资料  发短消息   编辑帖子
曙光
版主

版主



积分 1421
发帖 1420
注册 2005-11-1
#3  

楼主参考一下这个帖子,看看对你有什么帮助?http://bbs.micropoint.com.cn/showthread.asp?tid=11538&fpage=1

※ ※ ※ 本文纯属【曙光】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

技服电话:0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群:
       ·QQ群:630086 或 1471553 或 16998902
   
2008-3-16 15:55
查看资料  发短消息   编辑帖子
keai958
注册用户





积分 118
发帖 118
注册 2007-7-27
#4  



  Quote:
Originally posted by Legend at 2008-3-16 14:05:
请楼主将命名为virus.win32.xorer.kc/jm/jn/jp的病毒样本另存为出来,再 加密压缩(密码:virus),发送到我们virus@micropoint.com.cn 邮箱,我们好及时分析测试一下,随信请附带此贴链接,以及微 ...

能否换个传送方式?比如QQ?我的确已经把这个病毒样本存出来了(包括有三组此样本反复生成的文件),其中还包含我看到的一些现象截图,结果弄得压缩包较大,上载时很困难。再者,我担心上传时免费邮箱的杀毒引擎会杀掉样本。

我是在虚拟机里测试的这个样本,样本来源是从是毒电脑中随便取出来的的一个被感染的exe文件(那台电脑已经给装上微点,估计现在应该有样本上报了),所以部分信息我无法提供

※ ※ ※ 本文纯属【keai958】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-16 16:19
查看资料  发短消息   编辑帖子
keai958
注册用户





积分 118
发帖 118
注册 2007-7-27
#5  



  Quote:
Originally posted by 曙光 at 2008-3-16 15:55:
楼主参考一下这个帖子,看看对你有什么帮助?http://bbs.micropoint.com.cn/showthread.asp?tid=11538&fpage=1

这个贴子基本没什么价值,我在测试中发现,病毒在反复监视和重写注册表,它没使用IFEO劫持,不过病毒运行中似乎有查询这个键值的行为,当然我没试先导入与安全模式相关的那个注册表项关立即重启虚拟机,不过从病毒监视文件系统属性的注册表项的行为推测这种方式可能不行,即使现在可行,但一旦其新变种开始监视此项那么也就没有参考价值了

现在不是就单个样本说事,而是希望开发人员能够快速对此病毒做出对策。

以下是我查到的这个病毒生成的几个文件的MD5值及autorun.inf内容。从regmon.log和filemon.log中发现在试图安装微点时,病毒曾生成了一个NetApi000.sys驱动程序,不过我没抓到此文件


fe564978ef8546dd8be17572c0adefa8   ~.exe.40250.exe
fe564978ef8546dd8be17572c0adefa8   lsass.exe
ae1cd1d740c265b7f18f827f9e37afab   smss.exe
d1f6b9273cbb2e23aeed11346d0072c5   netcfg.000
d1f6b9273cbb2e23aeed11346d0072c5   netcfg.dll
43afc709415b0dfb297dab1209d993b4   dnsq.dll
fe564978ef8546dd8be17572c0adefa8   pagefile.pif

[AutoRun]
open=pagefile.pif
shell\open=打开(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=pagefile.pif

※ ※ ※ 本文纯属【keai958】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-16 16:32
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

请楼主按照短消息进行操作。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-3-16 17:13
查看资料  发短消息   编辑帖子
keai958
注册用户





积分 118
发帖 118
注册 2007-7-27
#7  



  Quote:
Originally posted by Legend at 2008-3-16 17:13:
请楼主按照短消息进行操作。

既然这样,那我只发一个被病毒感染的exe文件好了,你们只需运行一下它,所有的病毒文件都会释放出来了

※ ※ ※ 本文纯属【keai958】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-16 19:36
查看资料  发短消息   编辑帖子
hard
中级用户





积分 205
发帖 189
注册 2007-8-24
#8  

楼主中的是磁碟机吧,这种病毒比较难缠,楼主还是下载一个专杀工具先杀完再装微点吧

※ ※ ※ 本文纯属【hard】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-17 11:07
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号