微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 关于我昨天帮朋友杀毒的经历  

 15  1/2  1  2  > 
作者:
标题: 关于我昨天帮朋友杀毒的经历
easyworld
注册用户





积分 67
发帖 67
注册 2006-12-27
#1  关于我昨天帮朋友杀毒的经历

我朋友因为机子上被瑞星查出有病毒,但是瑞星确定要重启后删除,但就是删不掉,瑞星是2007版的,所以把我找去了。

我去了后就跟他装了微点(因为我也是近期在用微点的,想试试效果,我原来用瑞星,毕竟自己的机子平时几乎没毒可报)。
装好后,很快的微点出现提示,我就把毒删了,(我朋友机子上的瑞星无任务提示)也是提示要重启,我重启后的确病毒文件没有了,我看了一下在微点把他隔离了。

但是出现一个问题每次启动时总弹出RUNDLL加载模块找不到fwwatn63.dll(这是病毒文件)错误对话框。我想是注册表中还有相关链接的键值,于是就打开注册表,删除相关键值,刚开始有些键值(HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_fwwatn)硬是不能删,我上网查相关信息,发现是中了灰鸽子,看里面是说要提高权限,我就做了,删除了相关键值,但重启后还是有弹出对话框,我就怀疑机器还有内奸程序,我就用瑞星2007杀毒,结果又杀出5个,有2个是执行文件,一个是传美版QQ,一个我不熟悉(2个全删除了,我估计也许是被病毒感染的,不是本身带的),还有3个2个隐藏在XP还原文件中,一个在TEMP中,相关(我关掉了还原,也把相关的TEMP清空),我就又在安全模式下打开注册表删除相关键值,但是重启后还是有弹出对话框,不知是哪还有内奸未除啊!

※ ※ ※ 本文纯属【easyworld】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-30 09:28
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

楼主打开微点的系统自启动信息,找到这个fwwatn63.dl文件双击删除其注册表键值,然后重起机器,如果问题依旧请把加入群:16998902,管理员帮你远程看一下。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-12-30 09:34
查看资料  发短消息   编辑帖子
easyworld
注册用户





积分 67
发帖 67
注册 2006-12-27
#3  

从我昨天杀毒的经历,我有如下感觉

1、微点能隔离瑞星不能删除的毒,这点说明好像微点的操作有更高的优先级,瑞星这种只能报重启不能杀的情况我碰到的不止一次(以往都是确定路径在安全模式下删除)。

2、微点这种主动防御给人感觉上还是安全感不足,毕竟瑞星还查出5个毒,至于他们是不是有“活性”的,这个问题我想我不能姑息奍奸等他暗害我。

3、最后弹出对话框问题没解决(相关键值不能完全删除,重启后又出现了)这说明他的机器里还有内奸,我后来回来分析可能在c:\windows\system32\driver\下还有一个fwwatn63.sys文件,而且在无法清除的健值中也有这个路径,我估计可能是这个文件有问题,但是瑞星也没查出来,微点也没反应,所以我不敢冒然删除。

总体而言现在是他的机器里暂时查不毒了,但问题还没能圆满解决,我就觉得现在防杀毒软件不能一杀了之,有些问题会在删除文件又出现的(比如弹出对话框的情况)。

※ ※ ※ 本文纯属【easyworld】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-30 09:45
查看资料  发短消息   编辑帖子
easyworld
注册用户





积分 67
发帖 67
注册 2006-12-27
#4  



  Quote:
Originally posted by Legend at 2006-12-30 09:34:
楼主打开微点的系统自启动信息,找到这个fwwatn63.dl文件双击删除其注册表键值,然后重起机器,如果问题依旧请把加入群:16998902,管理员帮你远程看一下。

群满员了

※ ※ ※ 本文纯属【easyworld】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-30 09:47
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#5  



  Quote:
Originally posted by easyworld at 2006-12-30 09:47:


群满员了

群已清理,请楼主尝试重新加入。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-12-30 09:53
查看资料  发短消息   编辑帖子
sunsun
新手上路





积分 33
发帖 33
注册 2006-12-7
#6  

对于微点没有扫描的,我觉得最好还是装个绿色的杀毒软件,我这里用的是卡巴,drweb,avagas,咖啡,nod32. 都是绿色,平时不开,偶尔杀杀.
通常情况杀不出,但木马克星有时报

※ ※ ※ 本文纯属【sunsun】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-30 10:25
查看资料  发送邮件  发短消息   编辑帖子
weizg
中级用户




积分 434
发帖 430
注册 2006-11-25
来自 广西南宁
#7  

微点在没有中毒的机子上装才能显其威力

※ ※ ※ 本文纯属【weizg】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-30 22:31
查看资料  发送邮件  发短消息  QQ   编辑帖子
ballpointpen
中级用户





积分 436
发帖 434
注册 2006-6-20
#8  



  Quote:
Originally posted by weizg at 2006-12-30 22:31:
微点在没有中毒的机子上装才能显其威力

同意这种说法。LZ朋友的机子中毒在先,微点无法获得病毒对电脑作了什么的完整信息,因此清除不干净。

※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-30 23:08
查看资料  发送邮件  发短消息   编辑帖子
linovo
中级用户




积分 346
发帖 334
注册 2006-12-9
#9  

楼主这种杀毒经历很有典型性啊,值得研究

  Quote:
微点能隔离瑞星不能删除的毒,这点说明好像微点的操作有更高的优先级,瑞星这种只能报重启不能杀的情况我碰到的不止一次

楼主,你的推断正确,微点的进程是以服务形式来启动的,所以它的权限确实很大,微点在华军软件园的自我介绍是这样的“微点主动防御软件是驱动级(核心层)的安全防护软件”,如果这是真的话,它的编程技术在国内是非常高的,绝对比金山、瑞星要厉害些(虽然金山和瑞星也是驱动级,显然微点更胜一筹,大家可以用瑞星防火墙2007的进程查看功能看一下微点进程——完整路径那一栏,微点是空白的,而瑞星金山的进程都可以看到路径)。

       但我发现微点在觉得一些正常的程序可疑时,询问是否删除,点删除确没有删,删除不成功又没有任何提示,说明微点在删除文件时还是存在漏洞的。我建议微点增加一个校验的机制和金山毒霸的文件粉碎功能。金山正在把文件粉碎和进程查看等功能进行整合,如果发现有可疑进程、病毒删除不了,就对该进程反定位到文件夹,然后进行强制粉碎,通过这种方式来结束和杀掉顽固进程和文件。我认为金山这种思路是非常好的,灵感可能从《[惊天大发现]顽固文件删除终极武器》那里来的。(具体可看金山论坛http://bbs.kingsoft.com/viewthre ... page%3D4&page=2       还有http://bbs.kingsoft.com/viewthre ... 60&extra=page=2

  Quote:
我就怀疑机器还有内奸程序,我就用瑞星2007杀毒,结果又杀出5个,有2个是执行文件,一个是传美版QQ,一个我不熟悉(2个全删除了,我估计也许是被病毒感染的,不是本身带的),还有3个2个隐藏在XP还原文件中



  Quote:
LZ朋友的机子中毒在先,微点无法获得病毒对电脑作了什么的完整信息,因此清除不干净。

ballpointpen这种说法我不同意,之所以微点查不出来,而瑞星又杀出5个,我推断是因为这几个病毒并没有被激活(倘若微点有硬盘扫描功能,它是可以查杀的),或者微点不能识别。

[ Last edited by linovo on 2006-12-31 at 09:02 ]

※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-31 08:59
查看资料  发短消息  QQ   编辑帖子
easyworld
注册用户





积分 67
发帖 67
注册 2006-12-27
#10  

谢谢大家和微点客服的关心


昨天我又去了朋友家里,把fwwatn62.sys在linux把他删掉(安全模式下,还是删不动,可见毒性很强),然后再删除相关注册表键值,弹出对话框没有了,问题解决了

总体感觉,只是病毒大多还是有蛛丝马迹,从理论上来说也能映证微点的的可行性。
因为从病毒发作的角度来看,我昨天就已经把病毒杀完了,但是对话框问题没有解决,所以我是根据有异常情况来判断有病毒,微点也是由动作来判断,但微点的判断还要加强。

从后来的解决过程来看,仍然有fwwatn62.sys在作怪,而且瑞星和微点都没有报警(说明瑞星的扫描特征码滞后),当然微点是在带毒机上后装的,可能有区别,但这也说明微点有要加强的方面,毕竟现在试用微点的,多数是既成系统,很少会有祼系统来微点的,同时我觉得现在防杀毒软件离核心的距离还很远,我估计fwwatn62.sys在两个杀毒软件启动以前就已经加载了,而且能在安全模式下加载,如果杀防毒软件能学得这招,相信防杀能力会大大提高。

[ Last edited by easyworld on 2006-12-31 at 09:22 ]

※ ※ ※ 本文纯属【easyworld】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-12-31 09:19
查看资料  发短消息   编辑帖子
 15  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号