微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » viking病毒差点郁闷死我  

 11  1/2  1  2  > 
作者:
标题: viking病毒差点郁闷死我
augustheart
新手上路





积分 11
发帖 9
注册 2006-8-21
#1  viking病毒差点郁闷死我

现在中招电脑在重装了。
中招的状况是很多_desktop.ini文件,然后无数exe被删除了,但是按照viking的特征完全找不到病毒本体,也就是说系统文件夹下的特征文件完全没有。装了卡巴斯基,装了微点。感染过程中两个都没有报错。

※ ※ ※ 本文纯属【augustheart】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-12 09:33
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请问您的操作系统版本?
微点与卡巴的具体版本是多少?
请问您是如何知道被感染的?当时微点与卡巴的服务都是开着的吗?

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-9-12 09:43
查看资料  发短消息   编辑帖子
augustheart
新手上路





积分 11
发帖 9
注册 2006-8-21
#3  

都是开着的。我自己杀木马之类的也有一定经验了,这个东西完全没有在启动项中找到,icesword和微点里面都找不到可疑进程,卡巴斯基是5.0的,具体版本不记得,不过应该不是冲突的那个。
个人怀疑是修改了某个系统文件了,这样才没法找到病毒本体,而除了_desktop.ini,其它的特征文件都找不到,我也是从这个文件以及篡改并删除我的EXE文件判断的。昨天晚上电脑转换点东西,所以一直开着,人不在。就在这过程中把我的转换软件中的几个EXE给感染了,几个本来没有图标的命令行EXE文件全部变成了winrar的图标……怀疑是viking的一种新的变种吧。为了避免对公司网内找成更大的问题,我早上赶忙把机器格式化了。所以没法提供任何样本之类的了,不好意思。
最近北京网通的adsl里面似乎又有病毒流传吧?

※ ※ ※ 本文纯属【augustheart】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-12 09:55
查看资料  发送邮件  发短消息   编辑帖子
undo
新手上路





积分 8
发帖 8
注册 2006-8-21
#4  



  Quote:
Originally posted by augustheart at 2006-9-12 09:55:
都是开着的。我自己杀木马之类的也有一定经验了,这个东西完全没有在启动项中找到,icesword和微点里面都找不到可疑进程,卡巴斯基是5.0的,具体版本不记得,不过应该不是冲突的那个。
个人怀疑是修改了某个系统 ...

昨天客户的电脑中了同样的病毒,由于条件限制没有使用微点试验查杀。
据观察病毒通过网页内嵌代码传播
kv2006无任何反映。木马防线2005+提示可疑进程,无法阻止感染。
病毒主体应是windir\system32\realplayer.exe

※ ※ ※ 本文纯属【undo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-12 12:14
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#5  

请把您的这个样本发到virus@mciropoint.com.cn我们具体测试分析下

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-9-12 12:22
查看资料  发短消息   编辑帖子
undo
新手上路





积分 8
发帖 8
注册 2006-8-21
#6  



  Quote:
Originally posted by Legend at 2006-9-12 12:22:
请把您的这个样本发到virus@mciropoint.com.cn我们具体测试分析下

不好意思,当时条件限制,并且客户急于恢复营业,没有保存病毒样本

这个是目前的热门病毒
baidu了一下有3万多

※ ※ ※ 本文纯属【undo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-12 12:41
查看资料  发短消息   编辑帖子
undo
新手上路





积分 8
发帖 8
注册 2006-8-21
#7  



  Quote:
Originally posted by Legend at 2006-9-12 12:22:
请把您的这个样本发到virus@mciropoint.com.cn我们具体测试分析下

建议在查看微点隔离区列表时可以选择上传

※ ※ ※ 本文纯属【undo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-12 12:52
查看资料  发短消息   编辑帖子
augustheart
新手上路





积分 11
发帖 9
注册 2006-8-21
#8  

我的那个连realplayer也没有了,郁闷死我

※ ※ ※ 本文纯属【augustheart】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-12 13:34
查看资料  发送邮件  发短消息   编辑帖子
jaber
版主

使用与技巧区版主


积分 2861
发帖 2835
注册 2006-6-6
#9  



  Quote:
Originally posted by undo at 2006-9-12 12:52:


建议在查看微点隔离区列表时可以选择上传

谢谢您的建议  我们会认真考虑的!

※ ※ ※ 本文纯属【jaber】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-12 15:09
查看资料  发送邮件  发短消息   编辑帖子
undo
新手上路





积分 8
发帖 8
注册 2006-8-21
#10  



  Quote:
Originally posted by jaber at 2006-9-12 15:09:



谢谢您的建议  我们会认真考虑的!

虽然实时监控策略中对未知病毒样本有三个选择
自动传送:大量重复样本撑暴你们的硬盘
智能询问:加速鼠标报废
不传送:懒人的选择

如果可以,我会使用不传送+手动上传样本

※ ※ ※ 本文纯属【undo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-9-12 16:13
查看资料  发短消息   编辑帖子
 11  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号