微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 见到一个能过微点的病毒  

 13  1/2  1  2  > 
作者:
标题: 见到一个能过微点的病毒
可爱的卧底
中级用户




积分 333
发帖 333
注册 2007-5-16
#1  见到一个能过微点的病毒

我的员工的电脑在染毒后反复重启几次,微点就失效了。
微点失效以后,进安全模式蓝屏,进正常模式不停报内存错误并重启。
现在可用通过PE进硬盘取证,可用取出微点的尸体,也可能能看到病毒样本。
员工的电脑安装的是普通的测试版,道高一尺魔高一丈,我第一次看到过微点的病毒了。
请问版主,我应该怎样取证?

※ ※ ※ 本文纯属【可爱的卧底】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

言之有物,反对灌水!只做实实在在的中级会员,也不稀罕高级会员漫天灌水。
2008-1-15 09:43
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请问楼主的操作系统具体是什么版本?

请问楼主是否保留微点安装目录?如果有,请您将微点的mp7和mp14以及技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)或者mp6文件夹压缩给我们发送过来,我们好给您分析解决。

您员工的系统现在是否正常?

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-1-15 10:01
查看资料  发短消息   编辑帖子
可爱的卧底
中级用户




积分 333
发帖 333
注册 2007-5-16
#3  

系统废了,否则我用得着进PE系统吗?微点失效以后,进安全模式蓝屏,进正常模式不停报内存错误并重启。
我连病毒样本都采集到了,有在各个盘符下的pagefile.pif和aoutrun.inf,也有在all user的启动项里的几个EXE文件。
是发这个邮箱吗?support@micropoint.com.cn

※ ※ ※ 本文纯属【可爱的卧底】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

言之有物,反对灌水!只做实实在在的中级会员,也不稀罕高级会员漫天灌水。
2008-1-15 10:12
查看资料  发短消息   编辑帖子
可爱的卧底
中级用户




积分 333
发帖 333
注册 2007-5-16
#4  

#2  

请问楼主的操作系统具体是什么版本?

请问楼主是否保留微点安装目录?如果有,请您将微点的mp7和mp14以及技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)或者mp6文件夹压缩给我们发送过来,我们好给您分析解决。
---------
微点根本起不来,技术支持信息给不了你。

※ ※ ※ 本文纯属【可爱的卧底】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

言之有物,反对灌水!只做实实在在的中级会员,也不稀罕高级会员漫天灌水。
2008-1-15 10:13
查看资料  发短消息   编辑帖子
可爱的卧底
中级用户




积分 333
发帖 333
注册 2007-5-16
#5  

邮件已经发送到support@micropoint.com.cn  我的邮箱是 *******@163.com

※ ※ ※ 本文纯属【可爱的卧底】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

言之有物,反对灌水!只做实实在在的中级会员,也不稀罕高级会员漫天灌水。
2008-1-15 10:18
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

请您直接发送到virus@micropoint.com.cn 邮箱,我们会有专人给您分析测试的。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-1-15 10:19
查看资料  发短消息   编辑帖子
可爱的卧底
中级用户




积分 333
发帖 333
注册 2007-5-16
#7  

我已经发到support@micropoint.com.cn 这个邮箱里了。请您内部转发一下吧。

※ ※ ※ 本文纯属【可爱的卧底】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

言之有物,反对灌水!只做实实在在的中级会员,也不稀罕高级会员漫天灌水。
2008-1-15 10:22
查看资料  发短消息   编辑帖子
可爱的卧底
中级用户




积分 333
发帖 333
注册 2007-5-16
#8  

昨天我按照要求发的virus@micropoint.com.cn 这个邮箱,结果您发短信问我为什么没发到support@micropoint.com.cn,今天我发到support@micropoint.com.cn,您又这么问我。。

※ ※ ※ 本文纯属【可爱的卧底】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

言之有物,反对灌水!只做实实在在的中级会员,也不稀罕高级会员漫天灌水。
2008-1-15 10:23
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#9  

感谢您的反馈,我们收到后会给进行处理的,谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-1-15 10:26
查看资料  发短消息   编辑帖子
可爱的卧底
中级用户




积分 333
发帖 333
注册 2007-5-16
#10  

该病毒的传播方式比较简单,一个是各个磁盘根目录下的autorun.inf文件和autorun.inf启动的一个叫“pagefile.pif”的文件,一个是用的ALLuser的启动项。
刚才把系统恢复,发现做备份的时候恰恰是微点刚被干掉,病毒尚未发作的时候。进入PE盘,发现在C盘下无自动播放病毒,D盘下有autorun.inf文件无病毒文件,E盘下有autorun.inf和pagefile.pif文件,ALL user启动项里有一个异常的EXE程序。
将疑似病毒文件全部删除,重启后可用正常进入系统,但微点已经无法启动。重装微点,发帖。


ps:上文所说的病毒样本已经在上封邮件里发给你了。

※ ※ ※ 本文纯属【可爱的卧底】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

言之有物,反对灌水!只做实实在在的中级会员,也不稀罕高级会员漫天灌水。
2008-1-15 10:46
查看资料  发短消息   编辑帖子
 13  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号