微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 用微点这几天的郁闷  

作者:
标题: 用微点这几天的郁闷
microliu
新手上路





积分 14
发帖 14
注册 2008-4-19
#1  用微点这几天的郁闷

一直都非常支持微点,因为微点的主动防御确实是不错,用它也解决不少木马病毒,还有一个就是省资源,这一点对于老机用户是一个最大的感受。
然而这几天却是令我头痛,起初是微点报有几个未知木马,点了几十次确定后没有了,还不放心,打开360扫了一下,发现两个恶意程序,其中有一个名为sysloader.sys病毒,还有一个忘了,还发现了一个什么具有自执行性质的临时文件,点击清除,再扫,没了,很开心,可是打开IE浏览一下微点又报了,说在tmp文件夹里有upd*.tmp文件是未知木马,已清除,其中的'*'是可以变名字的,如upd8.tmp upde.tmp upd12.tmp等,查了一下好像是木马群,再杀,等一下又重复上述现像。
      后来下了windows清理助手,金山助手,其中金山提示是dodolook木马变种,当然也是清除了等一下又回来,windows清理助手报了有4个可以清除对像,也是清除了等一下又回来,实在是令人抓狂,网上baidu 了一下,有很多深受sysloader的受害者,这东西在 windows\system32\sysloader.dll 这个sysloader.dll名为dll文件,但看起来是文件夹较图标,双击提示文件夹是空的,只要它一发作,在tmp文件夹里就有upd*.tmp,发了这些文件和微点自侦报告给微点,半天没有回音,实是没心思和这个sysloader玩了。文件简单备份一下,ghsot得干干净净,看来什么防毒工具也只是辅助工具,关键时刻还是ghost最可靠,最靠得住。
     注:我的系统用maxthon,360打了所有补丁,关了还原,用不到的系统服务基本被我关了,所以我的系统应该是比较安全的了,还有这次中毒也用了大蜘蛛扫描所有文件,其中poco2007好像有问题,从pconline下载的,也不知病毒是不是从这进来的,可惜微点没有扫描工具,进来了也只有等它发作了才能发现,所以我认为扫描工具还是非常有必要的,当然大蜘蛛扫描是发现了好几个病毒,然而清除后还是sysloader阴魂不散不散!还是那句话:关键时刻还是ghost最可靠,最靠得住。

附件 1: 木马图片.JPG (2008-8-11 16:56, 98.78 K,下载次数: 57)


※ ※ ※ 本文纯属【microliu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-8-11 16:56
查看资料  发送邮件  发短消息   编辑帖子
microliu
新手上路





积分 14
发帖 14
注册 2008-4-19
#2  

不知这里有没有和我一样的受害者,实在没有办法解决,今天微点回了一封信,说
“请您打开微点主界面—系统分析—系统自启动信息,找到c:\windows\system32\msufifwc.sys,查找目标,将该文件发送给我们,然后在自启动信息中将该启动项删除。”

   可惜今天已经ghost了,找不到那个文件了,有这症状可以试试发给微点分析一下,我ghsot后系统正常,说明没有感染其它磁盘上的文件,这一点是万幸了,另外在360论坛上有很多人求助,这里好像没有怎么发现!

[ Last edited by microliu on 2008-8-11 at 17:05 ]

※ ※ ※ 本文纯属【microliu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-8-11 17:03
查看资料  发送邮件  发短消息   编辑帖子
408983504
银牌会员

此用户已被禁言


积分 1271
发帖 1238
注册 2007-1-6
来自 广东
#3  

看来楼主还没有熟悉微点的运行道理~~~

微点是靠程序的行为来判断是否病毒.
病毒没有运行就没有行为
没有行为就没有危害(暂时性的)
一但病毒运行
微点就会报它的了
TEMP文件夹是微点的敏感区域
如果有病毒
微点肯定会报(前提是病毒特征库度有特征)

※ ※ ※ 本文纯属【408983504】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

三用户版续费真TM的便宜啊!
2008-8-11 19:47
查看资料  发送邮件  发短消息  QQ   编辑帖子
stht1986
银牌会员




积分 2114
发帖 2108
注册 2008-7-5
#4  

呵呵,没有中毒没有发现!

能过微点的木马病毒很多哦,微点不是万能的,最管用的还是ghost!

※ ※ ※ 本文纯属【stht1986】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

破解无罪 盗版有理
2008-8-11 20:22
查看资料  发送邮件  发短消息   编辑帖子
microliu
新手上路





积分 14
发帖 14
注册 2008-4-19
#5  



  Quote:
Originally posted by 408983504 at 2008-8-11 19:47:
看来楼主还没有熟悉微点的运行道理~~~

微点是靠程序的行为来判断是否病毒.
病毒没有运行就没有行为
没有行为就没有危害(暂时性的)
一但病毒运行
微点就会报它的了
TEMP文件夹是微点的敏感区域
如果有病毒 ...

微点的运行道理我还是懂的,你讲的我也明白,但是没有扫描工具始终是个隐患,试问病毒进到机里,即使你重新ghost,但病毒在其它盘里,没有运行它,它当然不会有危害,但是你也不知道哪个下载的文件究竟有没有病毒,一但不小心运行(因为你根本不知道有毒),微点能清除最好,但如我中的sysloader病毒,运行后就再也清除不了了,你说这时还有用嘛?清除不完全,老是弹窗口说发现病毒,我想任何一个使用者都会感到恼火。
      所以如果有扫描工具,ghost后再对文件进行扫描,扫到就立刻清除,确保病毒消灭在萌芽状态,不是比中了毒再清除更好吗?

※ ※ ※ 本文纯属【microliu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-8-11 21:06
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号