卡饭论坛's Archiver



softkiller 发表于 2008-8-3 20:17

忽视微点报警 中毒用户亲身经验:从今往后,我信微点!

[color=#000000][b][size=4][size=5][/size][/size][/b][/color]
[color=#000000][b][size=4][size=5]调节系统音量微点竟报修改IE主页?[/size]

[/size][/b]【旦一刀 为什么我会中毒】
以前每次开机后IE主页都会被修改,前两天照这里的一篇帖子修改了微点的设置,主要是设置了锁住IE主页、禁止修改注册表,如此修改后IE主页被修改的现象消失
以前一直很纳闷,我的实时防御组合是KIS6.0+微点,定期用KIS6.0和AVG以及360安全卫士扫描机子,一直没发现什么不干净的东西
这次修改微点设置后,我抓出了元凶:每次只要我用系统托盘里自带的小喇叭按钮进行音量调节,微点都会弹出窗口,截图如下:[/color]
[img]http://mpicture.micropoint.com.cn/getpic.asp?sid=7991d0dcdf7eadd22fb92f61ae1fe971[/img]

[color=#000000]我没想到居然是这样,哪位大大能给说说咧?到底怎么回事?我又该如何彻底根除隐患?

[/color][color=#000000][size=5][b]抓出元凶![/b]
[/size]
【卡饭论坛 休假中的管理人员will】
楼主是什么系统? 什么版本的? 还有最好把C:\windows\system32\sndvol.exe压缩了上传吧

【旦一刀】
我是用XP SP3,补丁一直是打全的,昨天刚用360查过漏洞为0
GHOST是v11.0 Build 070315
下面的附件样本是C:\windows\system32\sndvol.exe(现在基本证实,这个东西有问题,请大家慎重决定是否下载)[/color]
[img]http://mpicture.micropoint.com.cn/getpic.asp?sid=17d1e5dcd6402a86d22a2b03a2c993cd[/img]

[color=#000000][b][size=5]众人皆醒 我独醉?[/size][/b]

【旦一刀】
我把那个sndvol.exe文件放在桌面上试着运行一下,微点也马上就报了,“阻止”后微点把它删除了   但是用KIS6.0和AVG扫描同一文件,说是没问题?[/color][color=#000000]
[/color][img]http://mpicture.micropoint.com.cn/getpic.asp?sid=6586e321e3b123715944db34494725df[/img] [img]http://mpicture.micropoint.com.cn/getpic.asp?sid=1bfbff03af490584358ff5de7063a0a9[/img] [img]http://mpicture.micropoint.com.cn/getpic.asp?sid=0d91eb23982a1af13a2bab7a20732b98[/img]
[img]http://mpicture.micropoint.com.cn/getpic.asp?sid=25a62432f47864b8ad3da85639f656c7[/img]
[img]http://mpicture.micropoint.com.cn/getpic.asp?sid=f7573bbd3fe888753e5b18e313745939[/img]

[color=#000000]曾经有一段时间,IE主页也是一开机后就被修改,最后查明是一个随开机启动的“光盘助手”之类的软件干的,删除该软件后问题消失 现在修改主页的情况,大概就是一个月来的事情吧

今天在大家的帮助下,抓出机子里狡猾的臭虫一只,而且还学会了多引擎扫描,心情很不错   不过还是觉得有点奇怪,这事是如何发生的? 居然闯过那么多看门的、查房的。。。不过似乎其危害性很低,应该只是修改主页而已吧

[size=5][b]众人皆醉我独醒![/b]
[/size]
【旦一刀】
[/color][color=#0000ff]回忆啊回忆,似乎有了点头绪:我前半年下了很多游戏,有的游戏安装时微点好像也曾报过警,但是我当时自己估计问题不大就放行了,因为如果不放行的话就等于白下了呗。而且肯定KIS6.0和AVG当时都表达了跟微点不同的意见,所以我才没搭理微点。。。大概就是某个问题游戏在安装过程中偷换了那个系统文件[/color]

[color=#ff0000]总结:
1、要相信微点,至少当这个平日沉默寡言的高手某天突然打破沉默的时候,它的意见绝对值得重视
2、不要因贪玩而舍不得删除可疑文件[/color]

[color=#000000][ 本帖最后由 旦一刀 于 2008-8-3 13:28 编辑 ][/color]
[color=#000000]作者原帖:[/color][url=http://bbs.kafan.cn/thread-298103-1-1.html][color=#800080]http://bbs.kafan.cn/thread-298103-1-1.html[/color][/url]

[color=#000000]另:木马程序修改的IE主页:hxxp://ie222.com
截止2008年8月3日 杀软多引擎特征扫描:
[/color][img]http://mpicture.micropoint.com.cn/getpic.asp?sid=1eea286bfffc112a3ce426e4ad58d034[/img]

微点卫士 发表于 2008-8-3 20:45

楼主整理的不错啊,我要转载,嘎嘎[:10:] [:10:] [:10:]
其实偶知道你是谁,哈哈[:14:] [:13:]

[[i] 本帖最后由 微点卫士 于 2008-8-3 20:46 编辑 [/i]]

旦一刀 发表于 2008-8-3 20:56

转载应该征求我的同意吧,哈哈,不过我同意[:01:] [:01:]
无论如何,这件事情确实加深了我对微点的好感,也算是以事实说话吧。你看多引擎扫描里面,卡巴和AVG还是对这流氓沉默着(不过这里应该是AVG的防病毒引擎,而不是普通我们说的AVG,但是一样,那个AVG也被过了)

[[i] 本帖最后由 旦一刀 于 2008-8-3 20:58 编辑 [/i]]

微点卫士 发表于 2008-8-3 20:57

回复 3楼 旦一刀 的帖子

感谢旦一刀同学[:14:]

黑色准男爵 发表于 2008-8-3 20:59

不错~~~~

支持下~~~~~~~~~

周勃 发表于 2008-8-3 21:02

结论:还是伞点组合经典呀。
早用小红伞+微点不就得了吗?哪来这么多事?

旦一刀 发表于 2008-8-3 21:05

[quote]原帖由 [i]周勃[/i] 于 2008-8-3 21:02 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4336200&ptid=298472][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
结论:还是伞点组合经典呀。
早用小红伞+微点不就得了吗?哪来这么多事? [/quote]

其实应该说是早点更加重视微点就得了,潜意识里觉得微点毕竟比卡巴和AVG还是差点,才导致了这次小事故,以后不敢了。再碰到微点、卡巴、AVG三方会诊意见不同的时候,就会再考虑一下才行动

竹节大将军 发表于 2008-8-3 21:31

2008-08-03 21:22:00        文件保护(创建文件)     操作:阻止并结束进程
进程路径:D:\temp\sndvol32\sndvol32.exe
文件路径:C:\reg.reg

2008-08-03 21:22:19        应用程序保护(运行应用程序)     操作:阻止
进程路径:D:\temp\sndvol32\sndvol32.exe
文件路径:C:\WINDOWS\regedit.exe
命令行:/s C:\reg.reg

竹节大将军 发表于 2008-8-3 21:32

reg.reg内容:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://ie222.com/"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings]
"LOCALMACHINE_CD_UNLOCK"=dword:00000000

伞兵づ泡泡 发表于 2008-8-3 21:38

一个样本不说明问题

但是杀毒软件报警都要相信

不相信为什么要装呢

旦一刀 发表于 2008-8-3 21:39

后面三项是什么意思呢?第一项是修改主页,这个明白了

回答楼上的,不是“不相信”,而是几个著名杀软多方会诊,最后我根据他们的投票结果实行民主了,少数服从多数了,结果证明错了

[[i] 本帖最后由 旦一刀 于 2008-8-3 21:41 编辑 [/i]]

竹节大将军 发表于 2008-8-3 21:41

2008-08-03 21:37:08        注册表保护(修改注册表内容)     操作:阻止
进程路径:C:\WINDOWS\regedit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:[url]http://ie222.com/[/url]
更改前:[url]http://www.shendu.com/[/url]

竹节大将军 发表于 2008-8-3 21:41

2008-08-03 21:37:08        文件保护(创建文件)     操作:阻止并结束进程
进程路径:D:\temp\sndvol32\sndvol32.exe
文件路径:C:\WINDOWS\system32\sndvol.exe

旦一刀 发表于 2008-8-3 21:42

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://ie222.com/"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings]
"LOCALMACHINE_CD_UNLOCK"=dword:00000000

这里的后面三段是什么意思?

黄金马甲出租 发表于 2008-8-3 22:15

回复 14楼 旦一刀 的帖子

针对XPsp2的吧,
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000001

这个是使sp2对ie一些ActiveX 、java控件保持默认禁用状态

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings]
"LOCALMACHINE_CD_UNLOCK"=dword:00000000
这就是0,1是勾选

[[i] 本帖最后由 黄金马甲出租 于 2008-8-4 13:00 编辑 [/i]]

volunteer 发表于 2008-8-4 13:49

相信微点,没错的!

yslc9302 发表于 2008-8-4 21:28

哈,不是自己想信的,另杀也别放过[:xi41:]

土豆仔仔 发表于 2008-8-5 22:50

楼主经验总结的较好,认真学习一下

darkbluecs 发表于 2008-8-6 02:13

其实不管什么东西报毒都要慎重考虑一下的

虽然我一向力挺微点,但LZ切不可因为这一例就偏信微点而忽视卡巴哦~

玩电脑要胆大、心细~[:17:] (老神在在状……)

sky123456 发表于 2008-8-6 23:30

什么年代了
还用6.0
你不下地狱谁下地狱

页: [1] 2

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.