中毒后装微点的测试（一）

黯然销魂

原帖地址：http://bbs.366tian.net/thread-708423-1-1.html
作者：心随风落

微点在中毒机器上的安装表现


      今天闲着无聊，就到样本区下了几十个样本(后门程序，木马，vking，恶意程式都有！)，有新有旧，都没测试过的病毒！
系统环境：纯净XP，补丁没有一个，无安全软件！
在一个纯净系统上双击运行，运行完毕后，任务管理器，注册表无法打开，并且感染RAR文件！网络奇慢，冰刃，sreng无法运行，卡巴等杀软，360无法安装。其他症状暂时没有发现！
下面请微点出场：
拷贝一份微点156版安装包，顺利解压，安装完毕，但安装完毕后，EXE文件被感染！马上到安全模式下，任务管理器，注册表可以打开，证明无大威胁，马上在安全模式下安装微点，重启！（没有更新）



重启后，微点正常运行。进入桌面，微点报警，机器一切正常！打开微点的系统自启动信息查看，发现其他软件项还有很多的奇怪的东西！（此过程没有更新）
就在这个时候，微点弹出了一个报警！



因为机器中毒才装的微点，所以必须选择放行，不过一会这个下载者就被微点给咔嚓了！

为了看看有没有什么可疑的东西，使用微点的可疑程序检查，果然检测出2个可疑的模块！



看来清理他们需要我手动，好麻烦。于是我就更新了微点。我就想重启下看看呢！于是马上重启！



重启后微点继续弹出报警信息，这次重启比第一次的还多！请看下图---隔离区的截图！



还有一小部分截图就没传了！图中鼠标点击处以上是第一次报警删除文件，下面是第二次重启后删除的病毒文件！
大家可以从上图看到微点已经把第一次扫描到的2个可以模块给删除了！
打开IE发现IE的主页已经被修改，通过IE属性无法修改成空白页！



打开微点，使用微点的修复功能试试看能不能搞定！


选择修复后，搞定！
但是我遇到了一个很奇怪的问题，那就是这个VKING只感染RAR文件和部分EXE文件，我放在桌面上的EXE没有跑掉，被感染了！
看RAR和EXE文件一下就可以看出来是否被感染！



于是我运行桌面上的EXE文件，提示无法运行，看来微点修复不成功！

但是RAR却给我修复好了，郁闷！看来微点得继续加强修复功能！



至此整个过程完毕，微点很好的解决了此中毒机器，并修复了部分文件！让机器又顺畅运行！

那么我们是否结束了呢？还没有，这个时候你需要打开微点的主界面，进行一些设置！

在安全防护与策略----程序行为实时监控策略里！



然后在安全防护与策略----防火墙设置里



根据自己的环境进行相应的设置！局域网用户可以绑定MAC，在一定程度上防止ARP欺骗行为！


最后在系统分析----注册表修复和注册表保护里进行相应的设置！







总结：在已经中毒的机器上，应该到安全模式下安装微点（可以避免很多意外情况发生），如果无法进入安全模式，可以尝试在正常模式下安装或者修复安全模式！并重启后升级，一般几次不严重的，重启3次就可以了，如果较为严重的，建议多重启几次，每次都会有收获的！

微点现阶段可以很好的在病毒机器上处理，但是在感染型的机器上处理效果不是很好！微点还需要加油。

等几天我将单独做一个感染型机器上如何安装微点进行处理的测试！还想做个更加恶劣的测试。。。。。大家可以给点建议！

此次测试有一定的局限性，望大家见谅！
忘了说句，本来是向扫描下的，就下了个卡7，结果正常模式下无法安装，到了安全模式他有说需要什么文件，我用的完整版系统都是这样，那精简版系统的朋友怎么办？更无法了！等等截图上来  还需要大家帮我解开疑惑！

[ 本帖最后由 黯然销魂 于 2007-8-7 13:33 编辑 ]

二六

见不得这种打广告的。

漫步者

确实是没听说过的软件啊

天马行空

是没听说过的软件.

开水

我也没有见过 好久去见识下  二楼的版主请注意下言词三，怎么能肯定别人就是广告呢？

黯然销魂

感谢几位斑竹的光临撒!不过不要吵架啊,呵呵!我收集了一些网友用这个软件实战病毒的例子,可是图片太多了.就没给大家帖上来.给大家个连接去看下吧!
实战病毒　微点的回答:

2006-09-24 发现可疑程序 微点报警 除了Panda全没反应
http://bbs.micropoint.com.cn/showthread.asp?tid=3010&fpage=12


游戏被人绑马　微点报警
http://bbs.micropoint.com.cn/showthread.asp?tid=3564&fpage=10


发现威金变种　微点报警　2006-11-21 10:45
http://bbs.micropoint.com.cn/showthread.asp?tid=4103&fpage=7


H0T！超级威金病毒
http://bbs.micropoint.com.cn/showthread.asp?tid=4479&fpage=6


木马变变变　微点杀杀杀
http://bbs.micropoint.com.cn/showthread.asp?tid=4552&fpage=6


游戏尽带病毒与木马
http://bbs.micropoint.com.cn/showthread.asp?tid=4550&fpage=6


[HACK]BitDefender 7.2 12.12.2006 Trojan.Downloader.Gen
http://bbs.micropoint.com.cn/showthread.asp?tid=4456&fpage=7


东南购物网发现3个毒
http://bbs.micropoint.com.cn/showthread.asp?tid=4462&fpage=7


熊猫变种 瑞星pass 2007-1-1
http://bbs.micropoint.com.cn/showthread.asp?tid=4982&fpage=4


卡巴占用率100%?
http://bbs.micropoint.com.cn/showthread.asp?tid=4619&fpage=6


碰到两支未知有害程序微点报警
http://bbs.micropoint.com.cn/showthread.asp?tid=4882&fpage=4


熊猫烧香
http://bbs.micropoint.com.cn/showthread.asp?tid=4613&fpage=5


某摇滚站上面碰到了熊猫烧香还有鸽子
http://bbs.micropoint.com.cn/showthread.asp?tid=4715&fpage=5


兔宝宝
http://bbs.micropoint.com.cn/sho ... 4%BA%DA%CF%C8%B7%E6


一个硬盘终结者
http://bbs.micropoint.com.cn/sho ... C%D6%D5%BD%E1%D5%DF


鱼和熊掌～都要兼得
http://bbs.micropoint.com.cn/sho ... =11730&fpage=10


卡巴创始人与黑客决斗印象最深的一次
http://bbs.micropoint.com.cn/showthread.asp?tid=12444&fpage=5


网络红娘
http://bbs.micropoint.com.cn/showthread.asp?tid=13417&fpage=3


蠕虫Worm.Win32.Agent.dif  
http://bbs.micropoint.com.cn/showthread.asp?tid=14019&fpage=1

好色的开水

呵呵 那倒要见识下了 我去看看

黯然销魂

楼上的看完了给来点感受哈,呵呵

二六

那我什么时候弄点软广告来这里。
其实这里面还有些都是的。
嘿嘿，其实那天我还是打了个广告。
混迹江湖这点都不晓得那就。
反正这也是允许打广告的，是不是该和有的打声招呼呢。
就比如头上的那样。

好色的开水

我们所有人每次给别人介绍一种软件 其实就是在给他打变相广告。

黯然销魂

同意楼上说法！也谢谢随风小筑 斑竹提醒我。呵呵，我现在跟你打个招呼不晚吧？
不过看大家都不知道这个软件，我想我还是应该多给大家介绍介绍！也先打个招呼吧！

黯然销魂

微点在中毒机器上的安装表现（二）


来源：http://bbs.366tian.net/thread-719141-1-1.html
作者：心随风落


这次的测试主要是为了查看微点在VKING、AV终结者以及清除流氓软件方面的测试！当然此次测试也加了其他木马程序，后门程序，病毒之类的！

        流氓软件：CINNIC   雅虎助手   网络猪   很棒小秘书  青娱乐

        其他病毒程式较多，就不一一列出来了！

测试过程：

1、安装完整版系统，由于此次安装过程失误，导致虚拟机无法上网！补丁一个没打！

2、拷贝病毒程序、流氓程序到虚拟机！此次病毒收集来源卡饭样本区、剑盟样本区，为最近几天的样本！均来自互联网！

3、安装流氓软件， 详见图


        其余略！


4、运行病毒样本，检查中毒效果  详见下图

-------------------任务管理器无法打开

-------------------系统时间被修改   

-------------------U盘病毒  

-------------------文件被感染----VKING   

-------------------映像劫持      

-------------------无法进入安全模式  



------------------IE被流氓软件给XX了



5、由于以上的症状对于一个对病毒方面不了解的人来说  只知道中毒了！这个时候你可以在网上查询这个症状是VKING、AV终结者、U盘病毒等程序共同的杰作！那么我们应该怎么做呢？既然知道IFEO被劫持，安全模式被破坏，那么我们就从这个地方入手，下面我介绍一个工具！


AV-SafeBoot Killer清理工具Beta 2[1].0.1.rar (951.39 KB)

打开这个工具，选择IFEO扫描，你会发现很多不正常的东西，扫描完毕你再点删除劫持项，此时劫持已经搞定！




再点安全模式修复，先点扫描安全项，再点修复按钮！




此时被弄坏的东西修复好了，但是你必须得在你弄完以后，马上重启进入安全模式，为什么呢？因为病毒会监控如果发现自己的东西不在了，就会再破坏一次！此时进入安全模式以后，马上安装微点，安装完毕立即重启，进入正常模式！





6、进入正常模式后，会不断的弹出报警提示，此时无论什么都点确定即可！报警过程你会发现有的东西说要延迟删除。。。。 你暂不重启，待微点的报警提示逐渐减少，再次重启！第二次重启进入系统以后，你还会看到报警。。。继续确定吧！如果第二次报警也较多的话，则继续重启，为的就是让系统更加安全！当重启后没有报警的时候，我们就来做善后工作了！


7、这个时候打开微点，点击系统自启动信息！右键选择隐藏已知的启动信息，这个时候你看到的是微点用蓝色标记的其他类软件信息！可以参考下图几个方法，进行选择性的删除！在这个地方我就来用微点PK流氓！

---------------------------------红线处只是选择性的勾画出流氓软件的启动文件，其实这些文件都是他们的自我保护，我们用微点来删除！

----------------------------------这个图是删除一些显示的不存在的文件注册表项

----------------------------------这个图是删除一些还存在的插件,反正不要的就删


删除完毕后，看就剩下几个正常的和自己拿不准的！



先别管，整机器重要！


8、重启下电脑，怎么样速度快了吧，你看任务栏那都干净不少呢！
再看看IE，哇塞，漂亮了！





流氓软件干净了么？没有，微点只是干掉了部分，那么还有的是什么呢？当然是他们各自的文件夹呀？找到相应的文件夹删之，决不手软！怎么样是不是不会再提示你删不掉了！虽然麻烦点，但绝对的强大！




再看看U盘病毒，哇咔咔，没有了！





再你以后的使用中，如果开机发现以下的提示




则立即打开微点的系统自启动信息，找到提示文件，知道该怎么做了吧！




9、这些做完以后，发现VKING感染的还没有修复，于是就卸载WINRAR，重新安装一次，安装完毕后，使用VKING专杀，对系统进行杀毒！对于此次测试，我发现只要微点库里有VKING的特征，那么微点就可以修复这类的东西，但还是会有不足之处，不足之处详见测试一！
所以对于已经中VKING的机器，我个人建议在安全模式下安装微点后，立即重启，然后再到网上查找相关的专杀，进行文件修复！为什么一定要先安装微点呢？微点可以有效的阻止VKING进一步感染，我可不想我一边修复，它一边感染，那我还干个P呀！


此次测试会使用到测试一当中的部分功能，在这我就不多说了，当我把这一连环的测试做完，你就会对微点有了一定的认识和了解！

此次测试中IE主页被修改，由于测试一已经给出了解决办法，我就没继续说这个问题了！

总结：微点还是一如既往的在中毒机器上杀毒，表现不错~！（但由于样本取材的局限性，测试仅供参考！）但是微点在修复被感染的问题上还是有所欠缺，这个就等待微点的扫描引擎出来，看能不能给我们带来新的亮点！   从这2次的测试看，微点应该继续加强对病毒的判断，在杀毒方面的稳定性进一步加强！这样才能给我们一个好的微点，强的微点！另外建议微点出自己的专杀工具，为什么要出专杀，不是因为微点杀不了，而是有的朋友没有安装微点，在中毒后想通过微点来解决，如果微点的扫描引擎能够很好的解决感染修复的话，那么专杀就可以不用了！当然这些都是在扫描出来以后才好研究、讨论的！