微点交流论坛 - 微点软件使用交流 - [转]中毒后装微点的测试

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » [转]中毒后装微点的测试

微服四方
注册用户

积分 149
发帖 140
注册 2007-7-12

#1 [转]中毒后装微点的测试

看到坛子里有很多用户都对机器中毒以后再安装微点表示信心不足。我想“心随风落”这篇文章应该给大家有个借鉴，特转载。

来源：http://bbs.366tian.net/thread-708423-1-1.html
作者：心随风落

微点在中毒机器上的安装表现

今天闲着无聊，就到样本区下了几十个样本(后门程序，木马，vking，恶意程式都有！)，有新有旧，都没测试过的病毒！
系统环境：纯净XP，补丁没有一个，无安全软件！
在一个纯净系统上双击运行，运行完毕后，任务管理器，注册表无法打开，并且感染RAR文件！网络奇慢，冰刃，sreng无法运行，卡巴等杀软，360无法安装。其他症状暂时没有发现！
下面请微点出场：
拷贝一份微点156版安装包，顺利解压，安装完毕，但安装完毕后，EXE文件被感染！马上到安全模式下，任务管理器，注册表可以打开，证明无大威胁，马上在安全模式下安装微点，重启！（没有更新）

重启后，微点正常运行。进入桌面，微点报警，机器一切正常！打开微点的系统自启动信息查看，发现其他软件项还有很多的奇怪的东西！（此过程没有更新）
就在这个时候，微点弹出了一个报警！

因为机器中毒才装的微点，所以必须选择放行，不过一会这个下载者就被微点给咔嚓了！

为了看看有没有什么可疑的东西，使用微点的可疑程序检查，果然检测出2个可疑的模块！

看来清理他们需要我手动，好麻烦。于是我就更新了微点。我就想重启下看看呢！于是马上重启！

重启后微点继续弹出报警信息，这次重启比第一次的还多！请看下图---隔离区的截图！

还有一小部分截图就没传了！图中鼠标点击处以上是第一次报警删除文件，下面是第二次重启后删除的病毒文件！
大家可以从上图看到微点已经把第一次扫描到的2个可以模块给删除了！
打开IE发现IE的主页已经被修改，通过IE属性无法修改成空白页！

打开微点，使用微点的修复功能试试看能不能搞定！

选择修复后，搞定！
但是我遇到了一个很奇怪的问题，那就是这个VKING只感染RAR文件和部分EXE文件，我放在桌面上的EXE没有跑掉，被感染了！
看RAR和EXE文件一下就可以看出来是否被感染！

于是我运行桌面上的EXE文件，提示无法运行，看来微点修复不成功！

但是RAR却给我修复好了，郁闷！看来微点得继续加强修复功能！

至此整个过程完毕，微点很好的解决了此中毒机器，并修复了部分文件！让机器又顺畅运行！

那么我们是否结束了呢？还没有，这个时候你需要打开微点的主界面，进行一些设置！

在安全防护与策略----程序行为实时监控策略里！

然后在安全防护与策略----防火墙设置里

根据自己的环境进行相应的设置！局域网用户可以绑定MAC，在一定程度上防止ARP欺骗行为！

最后在系统分析----注册表修复和注册表保护里进行相应的设置！

总结：在已经中毒的机器上，应该到安全模式下安装微点（可以避免很多意外情况发生），如果无法进入安全模式，可以尝试在正常模式下安装或者修复安全模式！并重启后升级，一般几次不严重的，重启3次就可以了，如果较为严重的，建议多重启几次，每次都会有收获的！

微点现阶段可以很好的在病毒机器上处理，但是在感染型的机器上处理效果不是很好！微点还需要加油。

等几天我将单独做一个感染型机器上如何安装微点进行处理的测试！还想做个更加恶劣的测试。。。。。大家可以给点建议！

此次测试有一定的局限性，望大家见谅！
忘了说句，本来是向扫描下的，就下了个卡7，结果正常模式下无法安装，到了安全模式他有说需要什么文件，我用的完整版系统都是这样，那精简版系统的朋友怎么办？更无法了！等等截图上来还需要大家帮我解开疑惑！

※ ※ ※ 本文纯属【微服四方】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-27 13:56

baijian_8d
中级用户

积分 289
发帖 286
注册 2007-5-27

#2

感染型的病毒，需要扫描，并提供修复功能，这就传统杀毒的强项。

所以卡吧做了一下防御和扫描的综合性的工作。

===========
微点对感染型的，是没辙，不过扫描功能快出来了，希望有新的亮点。
说不定就是加强版文件修复功能。

猜测，可能是文件对比，病毒特征提取功能。

[ Last edited by baijian_8d on 2007-7-27 at 14:14 ]

※ ※ ※ 本文纯属【baijian_8d】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-27 14:12

408983504
银牌会员

此用户已被禁言

积分 1271
发帖 1238
注册 2007-1-6
来自广东

#3

期待微点的扫描!

※ ※ ※ 本文纯属【408983504】个人意见，与【微点交流论坛】立场无关※ ※ ※

三用户版续费真TM的便宜啊！

2007-7-27 14:34

庄周梦蝶
中级用户

积分 299
发帖 261
注册 2007-7-13

#4

很明显微点对感染病毒的机子杀灭病毒的帮助是功不可没的。前天处理的一例飕飕飕弹N多网页的问题，虽然说是用微点+360安全卫士+客户新购的金山共同处理的，但我还是觉得是微点在其中起了重要作用。
详见http://bbs.micropoint.com.cn/showthread.asp?tid=13209&fpage=2最后几则回复。

[ Last edited by 庄周梦蝶 on 2007-7-27 at 15:21 ]

※ ※ ※ 本文纯属【庄周梦蝶】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-27 15:18

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#5

中天在线论坛转发来的

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-7-27 19:23

airkimi
中级用户

积分 201
发帖 201
注册 2007-6-8
来自江苏

#6

是啊
很期待扫描功能

※ ※ ※ 本文纯属【airkimi】个人意见，与【微点交流论坛】立场无关※ ※ ※

阳光总在风雨后，相信一切困难都将过去，胜利就在眼前！

2007-7-30 10:31

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号