» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点主动防御软件 » 微点应该监控驱动程序的行为（微点不能查杀 my123 病毒）    28   3/3   <   1   2   3  作者: 标题: 微点应该监控驱动程序的行为（微点不能查杀 my123 病毒） aidi 中级用户 新手上路 积分 256 发帖 221 注册 2006-3-6 #21     Quote: Originally posted by wuming at 2006-11-14 01:42 PM: 这个病毒变种很多，360safe 只能杀其中一个。我见到的，有 6 个 dll 和 3 个 sys，且在 windows 下多次删除其键值会造成 CPU 100% 被占用，无法继续。 病毒很狡猾，通过创建日期，可以看到很早就被感染了， ... 说是变种应该都是相同的文件吧，只是创建的文件名称是随机的； 困难的地方应该就是不知道怎么才能找到这个“病毒”的来源，也就是怎么中的； ntfs分区现在的ntfs for dos应该还是可以进入的，也可以参考用下Unlocker 找到c:\windows\system32\drivers目录下，找到刚才的那个驱动文件，点右键——Unlocker，然后在出来的对话框中，也会显示有一个sytem进程占用了，点那个“Unlock“。然后再在文件上Unlocker一下，这时显示已经没有其它进程在使用这个文件，用它的Delete功能，点确定便可。 ※ ※ ※ 本文纯属【aidi】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-11-14 14:14 wuming 注册用户 积分 133 发帖 133 注册 2006-10-17 #22     Quote: Originally posted by aidi at 2006-11-14 14:14: 说是变种应该都是相同的文件吧，只是创建的文件名称是随机的； 困难的地方应该就是不知道怎么才能找到这个“病毒”的来源，也就是怎么中的； ntfs分区现在的ntfs for dos应该还是可以进入的，也可以参考用下Unlocker 找到c:\windows\system32\drivers目录下，找到刚才的那个驱动文件，点右键——Unlocker，然后在出来的对话框中，也会显示有一个sytem进程占用了，点那个“Unlock“。然后再在文件上Unlocker一下，这时显示已经没有其它进程在使用这个文件，用它的Delete功能，点确定便可。 “变种”通常是重新编译过的、特征码不同的病毒。通常杀毒软件，靠特征码扫描病毒，无法对付变种。所以，如果文件相同，不算变种。 unlocker 没试过，不过进程里面是没有驱动程序的。 ※ ※ ※ 本文纯属【wuming】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-11-15 00:19 zqrsc 版主 反病毒区版主 积分 1133 发帖 1118 注册 2005-11-22 来自 .net #23     Quote: Originally posted by wuming at 2006-11-14 02:10 PM: 嗯，的确是这样删掉驱动，但是只要重新启动电脑，这些又会自动恢复的。 不知道是不是我的 ntfsdos 版本低，运行后仍然不能访问 winxp 的 ntfs 分区。dos 下就没办法删除了。 您可以尝试下用PE系统来引导。然后直接删除该驱动。 相信官方会重视您的建议。谢谢。 ※ ※ ※ 本文纯属【zqrsc】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~ 2006-11-15 11:21 aidi 中级用户 新手上路 积分 256 发帖 221 注册 2006-3-6 #24     Quote: Originally posted by wuming at 2006-11-15 12:19 AM: “变种”通常是重新编译过的、特征码不同的病毒。通常杀毒软件，靠特征码扫描病毒，无法对付变种。所以，如果文件相同，不算变种。 unlocker 没试过，不过进程里面是没有驱动程序的。 "360 采用文件名作为其特征 " 大概被这句话误导了，“变种”的那些代码最终效果应该还是相同的，只是代码的组合形式不同，所以比对其特征来就不同了；启发式应该还是可以做到的，毕竟它比纯特征值比对先进了一步，但行为还是不变的，行为判断还是有效的，只是这种行为还不算做病毒之列，只能说是恶意程序； 任务管理器中的进程当然不会显示驱动程序，可以参考下冰刃。 ※ ※ ※ 本文纯属【aidi】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-11-16 09:32 wuming 注册用户 积分 133 发帖 133 注册 2006-10-17 #25   我觉得，恶意程序和病毒的区别，就是： 恶意程序是个“程序”，而病毒不是大家认可的程序。比如，3721 就是个恶意程序，因为有产品的实体，可以称得上程序。而这个 my123 就不同了，连个名字都无法确定，都是谁发现谁命名，这就只能归为病毒了。 另外，即便是恶意程序，也应该清理掉啊，因为有恶意行为了。每秒钟多次写入 StartPage 键值，正常程序没有这么做的，已经是恶意行为了。 ※ ※ ※ 本文纯属【wuming】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-11-17 11:40 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #26   经测试微点可以拦截您所说的这个程序； 如果您发现没有拦截可以发到virus@micropoint.com.cn ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2006-11-17 11:42 wuming 注册用户 积分 133 发帖 133 注册 2006-10-17 #27     Quote: Originally posted by Legend at 2006-11-17 11:42: 经测试微点可以拦截您所说的这个程序； 如果您发现没有拦截可以发到virus@micropoint.com.cn 新加入的功能么？我前一阵子装微点的确杀不到，已经格系统了。 只要可以杀就行啦。 ※ ※ ※ 本文纯属【wuming】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-11-17 18:07 wuming 注册用户 积分 133 发帖 133 注册 2006-10-17 #28   不好意思，这次冤枉微点了，那个 my123 和 7939 不是一个病毒，今天我遇到了。我发了新帖子： http://bbs.micropoint.com.cn/showthread.asp?tid=4077&fpage=1 ※ ※ ※ 本文纯属【wuming】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-11-19 19:39  28   3/3   <   1   2   3  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号