微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 预升级反馈专区 » 连环报警  

作者:
标题: 连环报警
100000
版主

灌水区华南水务使


积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
#1  连环报警

有个问题:
昨天已经删除的文件,今天还报发现病毒需要延迟删除,重新启动后,发现与该文件相关的程序不能启动

具体:

1.Folder Security Personal 3.6保护了winrar程序
2.微点不认识该该版本winrar
3.winrar昨天解压了一个传真modem的驱动包,解压后因为没有用到该驱动包就随手删除了
4.winrar今天解压了一个样本包,样本运行后,微点报警并删除了样本
5.同时报winrar为病毒程序
6.同时报winrar昨天解压过但是已经删除的传真modem驱动包里的文件为未知木马,需要延迟删除
7.同时报Folder Security Personal 3.6为rootkit程序,需要延迟删除
8.最后报该不存在的传真modem驱动包里的文件为rootkit文件,需要延迟删除
9.重新启动机器
10.发现传真modem使用中的驱动受破坏,传真软件无法使用。重新安装驱动恢复正常。

[ Last edited by 100000 on 2007-10-13 at 21:30 ]

附件 1: 对已经不存在的程序显示延迟删除.PNG (2007-10-13 21:25, 63.08 K,下载次数: 50)


附件 2: rootkit判断错误.jpg (2007-10-13 21:25, 92.09 K,下载次数: 57)


附件 3: rootkit判断错误2.jpg (2007-10-13 21:27, 51.17 K,下载次数: 35)


※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

日出东方 微点先行 主动防御 快人一步
2007-10-13 21:25
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

谢谢你提供的信息 我们会根据你的情况进行具体测试的

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-10-13 21:33
查看资料  发短消息   编辑帖子
100000
版主

灌水区华南水务使


积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
#3  

该贴只是对“对已经删除的文件还报警”,觉得有些怪。
其他报警都觉得符合情理。

※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

日出东方 微点先行 主动防御 快人一步
2007-10-13 21:36
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  

你在什么地方有描述对已经删除的文件还报警? 能否再详细说明 谢谢

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-10-13 21:42
查看资料  发短消息   编辑帖子
100000
版主

灌水区华南水务使


积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
#5  

超版,您好!
第3~6条文说的是情况,第1个图是截图。

可能是微点对程序生成的文件有日志记录,但是对用户手动删除的文件没有日志记录,所以认为该文件还存在。

[ Last edited by 100000 on 2007-10-13 at 21:55 ]

※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

日出东方 微点先行 主动防御 快人一步
2007-10-13 21:50
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

谢谢你提供的信息

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-10-13 21:52
查看资料  发短消息   编辑帖子
998csc
中级用户




积分 304
发帖 304
注册 2007-2-2
来自 sz
#7  

呵呵.大包眼福了.

※ ※ ※ 本文纯属【998csc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[原创] 日出东方红胜火 月落微点俏如兰
[又一] 日出东方红胜瑞 月上微点妙摘星
关怀入微,点滴不尽,全心全意全为你!信任你我的微点!
2007-10-15 15:47
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#8  

请问楼主,微点的具体版本是多少?(微点主界面->辅助功能->关于)

另外,请楼主将报告中所涉及到的文件(Folder Security Personal 3.6、winrar、样本包、modem的驱动包)、微点所报警的具体文件(可在[安全日志]中查看)和微点的技术支持信息压缩后一起发送到邮箱support@micropoint.com.cn。我们具体进行测试分析,谢谢您对微点的支持。

注:1)生成技术支持信息的操作: 微点主界面—>辅助功能—>生成技术支持信息。
2)按微点提示删除的文件会保存于[安全防护与策略|有害程序隔离]中,右键点击后选择“另存”即可。
3)发送时请在邮件中注明本帖链接,并在发送后请将您的邮箱地址以论坛短消息的方式发给我们,便于我们及时跟踪处理。
http://bbs.micropoint.com.cn/pm.asp?action=send&uid=77

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-10-15 16:12
查看资料  发短消息   编辑帖子
100000
版主

灌水区华南水务使


积分 3285
发帖 3250
注册 2007-2-26
来自 深圳
#9  

补充:

1.Folder Security Personal 3.6保护了winrar程序

---是指在FOLDER SECURITY PERSONAL 3.6中将winrar的所有.exe文件和.dll文件设置为read only

超版,您好!相干资料已经发送,请查收。

※ ※ ※ 本文纯属【100000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

日出东方 微点先行 主动防御 快人一步
2007-10-15 21:58
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#10  

谢谢楼主的反馈,您的邮件已收到,我们会尽快分析处理并给您回复。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-10-15 22:10
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号