微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 发现一个可疑程序,微点没有报警,请工程师看一下  

 17  1/2  1  2  > 
作者:
标题: 发现一个可疑程序,微点没有报警,请工程师看一下
ycjlj
新手上路





积分 42
发帖 42
注册 2007-1-5
#1  发现一个可疑程序,微点没有报警,请工程师看一下

刚刚升完级,诊断可疑程序,发现一个,请工程师帮忙看一下。

附件 1: 4.JPG (2007-1-8 22:02, 83.52 K,下载次数: 37)


※ ※ ※ 本文纯属【ycjlj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-8 22:02
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

你把这个文件传给我们 我们分析一下virus@micropoint.com.cn

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-1-8 22:13
查看资料  发短消息   编辑帖子
ycjlj
新手上路





积分 42
发帖 42
注册 2007-1-5
#3  

我显示了所有的隐藏文件(包括隐藏的系统文件)但是找不到这个文件。
然后搜索了整个磁盘,也找不到这个文件。
电脑没有什么异常,不知是怎么回事。

[ Last edited by ycjlj on 2007-1-8 at 22:30 ]

※ ※ ※ 本文纯属【ycjlj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-8 22:28
查看资料  发送邮件  发短消息   编辑帖子
theodorebagwell
新手上路





积分 17
发帖 20
注册 2007-1-1
#4  

我也是 和你的情况一样 C:\WINDOWS\SYSTEM32\DRIVERS\KPROCCHECK.SYS  说是隐藏文件 可是我就是找不到啊!!



[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="KPROCCHECK"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="KPROCCHECK"
注册表里是这个

[ Last edited by theodorebagwell on 2007-1-8 at 23:05 ]

※ ※ ※ 本文纯属【theodorebagwell】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-8 22:58
查看资料  发送邮件  发短消息   编辑帖子
ycjlj
新手上路





积分 42
发帖 42
注册 2007-1-5
#5  

补充:在微点中右击后,点击程序信息,微点提示:无法读取程序信息;点击进程信息,内容为空,具体见图;点击结束进程,提示无法结束该进程;点击删除到隔离区,提示是否上报,确定后提示:未能上报此程序,接着提示:结束该进程并删除可疑程序文件到隔离区?确定后提示:成功删除可疑程序,确定后可疑程序没有了。但重新诊断后该可疑程序又出现了。如果将它标识为可信程序,重新诊断后仍然有它。

[ Last edited by ycjlj on 2007-1-8 at 23:01 ]

附件 1: 2.JPG (2007-1-8 23:01, 31.14 K,下载次数: 70)


※ ※ ※ 本文纯属【ycjlj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-8 23:00
查看资料  发送邮件  发短消息   编辑帖子
lipeng770
新手上路





积分 10
发帖 10
注册 2007-1-8
#6  

同楼上几位的问题一样。能查不能删。系统也找不到。删掉一查又出现了。

※ ※ ※ 本文纯属【lipeng770】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-8 23:01
查看资料  发送邮件  发短消息   编辑帖子
theodorebagwell
新手上路





积分 17
发帖 20
注册 2007-1-1
#7  

恩 纳闷中~~  帮5楼的一模一样   我估计是中了ravmone.exe那个毒 杀不干净而已

[ Last edited by theodorebagwell on 2007-1-8 at 23:10 ]

※ ※ ※ 本文纯属【theodorebagwell】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-8 23:06
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#8  

你可以加入到我们的QQ群,我们的管理员帮你看看具体的情况。群号:16998902

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-1-8 23:13
查看资料  发短消息   编辑帖子
ycjlj
新手上路





积分 42
发帖 42
注册 2007-1-5
#9  

好的,我的QQ是:416946500,昵称:嘉陵江

※ ※ ※ 本文纯属【ycjlj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-8 23:17
查看资料  发送邮件  发短消息   编辑帖子
nema777
新手上路





积分 5
发帖 5
注册 2007-1-7
#10  会不会是雅虎助手留下的?



  Quote:
Originally posted by ycjlj at 2007-1-8 23:00:
补充:在微点中右击后,点击程序信息,微点提示:无法读取程序信息;点击进程信息,内容为空,具体见图;点击结束进程,提示无法结束该进程;点击删除到隔离区,提示是否上报,确定后提示:未能上报此程序,接着提 ...

我以前也碰到这类似的事情,也是在DRIVERS里,后缀名也是SYS,在网上逛了半天好象说是这是什么采用驱动级保护的,后来一个网友发给我金山的专查流氓软件的东东终于把它干掉了!
我也是能找到它,用360杀不死的,提示可以删除,重启上来再查,还是在的,手动删也行,删完一刷新文件夹,还在,呵呵

※ ※ ※ 本文纯属【nema777】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-1-9 01:37
查看资料  发短消息   编辑帖子
 17  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号