微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 微点应该监控驱动程序的行为(微点不能查杀 my123 病毒)  

 28  2/3  <  1  2  3  > 
作者:
标题: 微点应该监控驱动程序的行为(微点不能查杀 my123 病毒)
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#11  



  Quote:
Originally posted by Legend at 2006-11-14 12:20:
微点具有驱动程序监控

在感染 my123 的电脑上安装微点,根本查不出来这个病毒。是不是这个病毒的行为还不够狠?频繁修改注册表,还不算恶意行为啊?

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 13:08
查看资料  发送邮件  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#12  



  Quote:
Originally posted by aidi at 2006-11-14 11:52:
如果已经在微点的注册表修复与保护里面设置主页的锁定与保护的话,这个病毒也就没有什么意义了;
对于这类修改hosts文件及修改默认主页的行为应该是那些优化软件的处理;
微点提供了全方面的监控,既然微点已经是驱动级的杀软,相信也一定能够监控到驱动级的启动程序,只是单一的修改ie主页这一行为并不能够做为完全判定为病毒的条件;
如果开着微点的话完全可以利用微点的监控日志找到这个病毒的来源,再手工清理掉,对于驱动的文件不让删除可以参考利用批处理文件在dos下执行清理

1. 是发现感染后,再安装的微点,所以锁定注册表没有意义。
2. 这个病毒不修改 hosts。
3. 每秒钟修改好几次 ie 主页,还不算病毒啊?只要你把首页改为别的,病毒立刻将其恢复成病毒主页。
4. 装了杀毒软件,还要求用户手工清理?甚至还让用户自己制作批处理进入 dos 清理?那还装微点做什么呢。

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 13:11
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#13  

请把微点的系统自启动信息、程序生成日志、注册表变更日志导出发到support@micropoint.com.cn

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-11-14 13:13
查看资料  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#14  



  Quote:
Originally posted by aidi at 2006-11-14 12:23:
简要分析及处理方法:
……
      找到病毒的原形后就是清除这些文件了,由于是驱动文件正常模式下可能不能删除,保险的方式需要到dos下清理删除找到的6 个字母 + 2 个数字的.dll与.sys文件,在注册表中搜索my123修改相应的注册表键值,大功告成。
      有些朋友不太熟悉dos可以在正常模式下建立一个批处理程序然后用98或dos启动盘进入dos双击执行就可以了;注册表的清理暂不提供,手工修改主页既可。
……

病毒源好找,但是对于普通用户怎么清理?
dos 下面怎么双击呢。。。
而且,即便这么删掉了相关文件,那么开机就会报告一大堆驱动相关错误。
这个病毒的 .sys 和 .dll 好几个,我见过,他们大小都一样,只删掉一个是不够的。

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 13:17
查看资料  发送邮件  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#15  

1.这只是个假设,你没有保护已经被该了主页,就不应该再去说那个保护的软件有问题;
2.我只是说的这类,并不是指你说的的那个“病毒”;
3.每秒钟修改n次注册表的就是病毒吗?你可以看下安装木马杀客的机子上注册表的变更日志,木马杀客本身的程序都是在时时修改着注册表;
4.杀毒软件没有万能的,谁也不能保证%100的安全,但重要的是处理措施,发现了问题就要学会自己解决,用户完全自己解决是不可能的,也没有那么多精力但对突发事件还是要自己寻求办法的。

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 13:20
查看资料  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#16  



  Quote:
Originally posted by wuming at 2006-11-14 01:17 PM:


病毒源好找,但是对于普通用户怎么清理?
dos 下面怎么双击呢。。。
而且,即便这么删掉了相关文件,那么开机就会报告一大堆驱动相关错误。
这个病毒的 .sys 和 .dll 好几个,我见过,他们大小都一样,只删 ...

抱歉,输入错误;但懂得进dos的人应该都知道如果运行一个bat文件,这个就不用过多说明了;
关于报告驱动相关错误是因为没有清理注册表的驱动启动相关键值,清理了自然就不会再报了,怪我没有写清楚;
我没有中过这个修改主页的恶意程序,不知你是怎么中的,所以具体几个文件不清楚,但从你给的链接上看文件只有2个一个dll一个sys。要是还有其他只能说明那个360的版主没有分析清楚。


ps:如果你自己知道怎么中的,可以发给官方,相信他们肯定会有更好的分析能力。

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 13:28
查看资料  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#17  



  Quote:
Originally posted by Legend at 2006-11-14 13:13:
请把微点的系统自启动信息、程序生成日志、注册表变更日志导出发到support@micropoint.com.cn

我是帮朋友解决问题,遇到的这个病毒,他没有装微点,我临时装的微点,发现杀不掉这个病毒。
所以,也就没有什么日志可言了。

修改为 www.my123.com 的可以用 360safe 清理掉,我去 360safe 网站看,发现很多变种还无法清理,装上微点也没能解决问题。在 360safe 的浏览用户现在已经达到了 11 万多,回帖也有 1200 人,空前火爆啊。估计是第一个披着驱动外衣的病毒。所以提醒一下微点而已。

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 13:34
查看资料  发送邮件  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#18  



  Quote:
Originally posted by aidi at 2006-11-14 13:28:
抱歉,输入错误;但懂得进dos的人应该都知道如果运行一个bat文件,这个就不用过多说明了;
关于报告驱动相关错误是因为没有清理注册表的驱动启动相关键值,清理了自然就不会再报了,怪我没有写清楚;
我没有中过这个修改主页的恶意程序,不知你是怎么中的,所以具体几个文件不清楚,但从你给的链接上看文件只有2个一个dll一个sys。要是还有其他只能说明那个360的版主没有分析清楚。


ps:如果你自己知道怎么中的,可以发给官方,相信他们肯定会有更好的分析能力。

这个病毒变种很多,360safe 只能杀其中一个。我见到的,有 6 个 dll 和 3 个 sys,且在 windows 下多次删除其键值会造成 CPU 100% 被占用,无法继续。

病毒很狡猾,通过创建日期,可以看到很早就被感染了,但是直道 11 月 10 日才发作。所以,也不晓得怎么中的。而且,病毒还锁定了相关病毒文件,在 windows 下无法拷贝,让许多用户无法提取病毒样本。还有就是,进入 www.my123.com 竟然没有发现恶意程序,想找一个样本都难。

而且,我遇到的情况,病毒在 ntfs 格式磁盘上,根本不能进入 dos 下删除,加载 ntfsdos 也不行。还有,即便进入安全模式,病毒也会随着启动。无奈,格了重装了。

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 13:42
查看资料  发送邮件  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#19  

附驱动启动存在的注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
@echo 开始修复注册表内容......
reg delete "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\cyofwj07" " /v ""(注:此文件为在您系统上查找到的文件只需要更改下名称即可)
echo.
pause
echo.
echo.

呵呵,大概是这样吧,我的水平有限。

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 13:43
查看资料  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#20  

嗯,的确是这样删掉驱动,但是只要重新启动电脑,这些又会自动恢复的。
不知道是不是我的 ntfsdos 版本低,运行后仍然不能访问 winxp 的 ntfs 分区。dos 下就没办法删除了。

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 14:10
查看资料  发送邮件  发短消息   编辑帖子
 28  2/3  <  1  2  3  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号