微点交流论坛 - 微点软件使用交流 - 微点主防也是兼信则明

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 微点主防也是兼信则明

1/8

han
中级用户

积分 422
发帖 420
注册 2007-6-15

#1 微点主防也是兼信则明

实在想不出好标题。

使用微点主防近3年，从试用到使用到惯用。也许是微点太让我放心了，也许是对“行为判断”的曲解，前日终成大祸。

一个恶意（有屎以来最恶意）程序，打扮得跟DOC文档一模一样，不经意运行了，微点主动防御没有所示，但磁盘上几个分区的文件内容被清洗一空，就象当年8国联军入窃圆明园一样，拿走了里面的宝贝却留个空庙（文件的内容被清零，但没有被删除，被清空的文件累计20G以上）。
后来追查的结果确信就是那个优盘上的一个DOC文档图标的恶意程序，用杀软扫描，基本都能认出。
痛定思痛，微点主防不是行为判断么？20G的内容被清空（其中包括2000－当时的苦干文档），怎么就不提示一下呢？如果当时机器里哪怕就装个360，这样的惨剧也不会发生，都怪自己偏信微点主防，教训深刻啊。

附件 1: 快照1.gif (2010-5-8 18:10, 40.7 K,下载次数： 37)

※ ※ ※ 本文纯属【han】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 18:10

scien
中级用户

积分 296
发帖 296
注册 2009-10-13

#2

可以的话建议用EasyRecovery Professional进行数据恢复修复看看。

如果20G的数据需要清零，硬盘运行是需要时间的，很可能是病毒修改硬盘的某些关键数据，如文件表之类的。

试试看吧，数据恢复修复，可能有意想不到的效果哦

所用软件的话，还是推荐我说的那个。你可以在别的电脑上安装，然后将你的硬盘接上那台电脑，

也可以安装后将程序的整个文件夹考到U盘上，在你自己的电脑上在U盘里运行。

不建议在本机上安装，可能造成不必要的损失。像你说的不用恢复C盘的话，装在C盘里应该也没什么问题的，主要是需要恢复的D、E盘恢复前就不要进行数据写操作就好了

祝你好运…………

[ Last edited by scien on 2010-5-8 at 18:30 ]

※ ※ ※ 本文纯属【scien】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 18:16

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#3

感谢楼主反馈，请您把样本文件和微点技术支持信息（微点主界面----辅助功能----生成技术支持信息）一起发送到 virus@micropoint.com.cn ，来信请附本帖链接，我们尽快分析后给您回复。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2010-5-8 18:29

han
中级用户

积分 422
发帖 420
注册 2007-6-15

Quote:

Originally posted by scien at 2010-5-8 18:16:
可以的话建议用EasyRecovery Professional进行数据恢复修复看看。

如果20G的数据需要清零，硬盘运行是需要时间的，很可能是病毒修改硬盘的某些关键数据，如文件表之类的。

试试看吧，数据恢复修复，可能有意 ...

感谢你的关注。
我在中毒后用过几款数据恢复软件，包括你上面例举的，此外，用过基于扇区的好又快、易我、R-S、DISKGENIUS、WINHEX、RMF等等（基本都试过了），甚至找人挂到苹果系统上试过，但没有任何一款软件能找到。倒是有个DOC文档恢复工具（也应该是基于扇区的抓轨工具）能够找一部分回来，经修复后约有10%可用，但该工具仅支持DOC的特征，对WPS（多数是该类型文件，共计约一万五千多个文档）。好在以前的有备份，未备份的只有约409个（文件未删除，所以可查知）。

我非常认同你说的数据并未被清洗，这需要时间，但当时大约就10秒钟左右自动重启，但不知有什么办法能将散落在磁盘上的文件内容块恢复过来，原来的文件项目表应该也是正常的，本想扫描一下磁盘，但又害怕造成进一步伤害，所以没有动。

还有一条途径是反编译那个恶意软件，看它采用的是什么原理，再采取相应措施。但本人无此能力，周围也没有此类高人，只知道那个恶意程序是VBA编写的。

我现在在尽是补齐一些重要的文件，已经通过汉王扫描加ORC方式弄来回一大半了，余下的有时间再搞。

※ ※ ※ 本文纯属【han】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 18:50

weidianbucuo
注册用户

积分 136
发帖 136
注册 2009-11-22

#5

严重关注中！！

※ ※ ※ 本文纯属【weidianbucuo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 19:13

han
中级用户

积分 422
发帖 420
注册 2007-6-15

Quote:

Originally posted by Legend at 2010-5-8 18:29:
感谢楼主反馈，请您把样本文件和微点技术支持信息（微点主界面----辅助功能----生成技术支持信息）一起发送到 virus@micropoint.com.cn ，来信请附本帖链接，我们尽快分析后给您回复。

中毒系统使用问题多多，就从隐藏分区恢复了，现在无力提供技术支持信息（估计作用也不大）。
谢谢关注！

※ ※ ※ 本文纯属【han】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 19:14

weidianbucuo
注册用户

积分 136
发帖 136
注册 2009-11-22

Quote:

Originally posted by han at 2010-5-8 18:10:
实在想不出好标题。

使用微点主防近3年，从试用到使用到惯用。也许是微点太让我放心了，也许是对“行为判断”的曲解，前日终成大祸。

一个恶意（有屎以来最恶意）程序，打扮得跟DOC文档一模一样，不经意运行 ...

请楼主把样本也发给我一下，我有兴趣！

※ ※ ※ 本文纯属【weidianbucuo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 19:14

han
中级用户

积分 422
发帖 420
注册 2007-6-15

Quote:

我想做一个实验，就是先备一个空白优盘（准备先格式化后用WINHEX填00），然后将一个有内容的DOC文档用WINHEX直接写到该优盘的某些扇区（分连续与不连续两种情形），然后用数据恢复软件恢复之。
如果有软件能找出来的话，是不是能够找到那些被清洗的文件呢。

请你分析。

※ ※ ※ 本文纯属【han】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 19:19

han
中级用户

积分 422
发帖 420
注册 2007-6-15

Quote:

Originally posted by weidianbucuo at 2010-5-8 19:14:

请楼主把样本也发给我一下，我有兴趣！

是别人的优盘，他今天未上班，星期一可发给你，但千万莫学我，造成损失你自家负责，我有两个晚上觉都未睡好，就考虑这事。

※ ※ ※ 本文纯属【han】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 19:22

han
中级用户

积分 422
发帖 420
注册 2007-6-15

#10

几年的文件光目录表（A4纸五号字）就有80多页13700余个，不是有备份的话，可能有人请喝茶了。

这个贴子的目的既希望有人能帮我，同时也是告诫大家不要只用微点主防，另外弄个帮手是必须的。

※ ※ ※ 本文纯属【han】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-5-8 19:29

1/8

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号