瑞星2010不能妥善处理病毒File.exe（附样本） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星2010新品体验挑战专区 瑞星组合版2010公测瑞星2010不能妥善处理病毒File.exe（附样本）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[RAV] 瑞星2010不能妥善处理病毒File.exe（附样本）

本主题由大版主 baohe 于 2009-6-30 8:44:56 执行设置高亮操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-06-30 08:39 \| 只看楼主短消息资料字号：小中大 1楼瑞星2010不能妥善处理病毒File.exe（附样本） 1、File.exe出现已经有一段时间。但瑞星2010至今不认识它。 2、瑞星2010的“危险动作分析”可以发现它，但处理它时有缺陷。瑞星2010“危险动作分析”发现它后，用户反复点击“阻止”，拦截界面反复出现。直到我用IceSword结束病毒进程File.exe。 2.png (13.54 K) 2009-6-30 8:39:01 3、尽管瑞星2010“危险动作分析”拦截了，但病毒文件sdra64.exe已经进入系统。 1.png (42.12 K) 2009-6-30 8:39:01 附上病毒样本File.exe（无密码）用户系统信息：Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1 附件: 文件名:file.rar 下载次数:517 文件类型:application/x-rar-compressed 文件大小: 上传时间:2009-6-30 8:39:01 描述:rar baohe 最后编辑于 2009-06-30 09:06:48
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-06-30 08:42 \| 只看楼主短消息资料字号：小中大 2楼回复：瑞星不能妥善处理病毒File.exe file.exe概要：病毒文件名：file.exe 文件大小：101KB MD5值：db3ce25852874ee72c779325c3bcfef3 此毒运行后： 1、在system32目录下释放病毒文件sdra64.exe 2、注册表改动：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\sdra64.exe" 3、结束系统进程smss.exe SRENG可以发现API HOOK异常 fig1 1.png (66.37 K) 2009-6-30 8:43:12 仅看SRENG日志，用户会上当。SRENG日志的加载项部分报病毒文件sdra64.exe丢失（其实并未丢失）。 fig2 2.png (17.08 K) 2009-6-30 8:43:12 常用WINRAR查看病毒文件者也容易上当————WINRAR根本看不到病毒文件sdra64.exe（其实这是一种假象）。 fig3 3.png (64.25 K) 2009-6-30 8:43:12 中此毒后的一个特征是：SRENG日志中smss.exe进程消失： fig4 4.png (28.52 K) 2009-6-30 8:43:12 用IceSword可以发现病毒文件且可强制删除之 fig5 5.png (54.13 K) 2009-6-30 8:43:12 file.exe作案全过程 fig6 6.png (49.40 K) 2009-6-30 8:43:12 baohe 最后编辑于 2009-06-30 08:44:25
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

瑞星工程师08 在线工程师帖子:79 注册: 2008-09-05 来自:	发表于： 2009-06-30 09:22 \| 短消息资料字号：小中大 3楼回复：瑞星2010不能妥善处理病毒File.exe（附样本）您好点击“阻止”的含义是阻止病毒的这项危险动作而不结束该程序点击下面的 “结束程序”即可结束掉该进程。
瑞星工程师08 在线工程师帖子:79 注册: 2008-09-05 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-06-30 09:37 \| 只看楼主短消息资料字号：小中大 4楼回复: 瑞星2010不能妥善处理病毒File.exe（附样本）引用: 原帖由瑞星工程师08 于 2009-6-30 9:22:00 发表您好点击“阻止”的含义是阻止病毒的这项危险动作而不结束该程序点击下面的 “结束程序”即可结束掉该进程。那么干？就有好瞧的了反复点击了3次“结束程序”，拦截界面依然出现。 3.png (13.08 K) 2009-6-30 9:36:54 再点击之 4.png (12.43 K) 2009-6-30 9:36:54 再点击吗？再点击“结束程序”，系统必然重启。重启后...... baohe 最后编辑于 2009-06-30 09:42:15
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

晕菜菜在线工程师帖子:121 注册: 2009-06-24 来自:	发表于： 2009-06-30 09:40 \| 短消息资料字号：小中大 5楼回复：瑞星2010不能妥善处理病毒File.exe（附样本）您的问题我们已经收集反馈，谢谢您对瑞星的支持！
晕菜菜在线工程师帖子:121 注册: 2009-06-24 来自:

大将风度叱咤花甲狮帖子:3535 注册: 2007-02-19 来自:织梦天空	发表于： 2009-06-30 09:43 \| 短消息资料字号：小中大 6楼回复：瑞星2010不能妥善处理病毒File.exe（附样本）我举报~猫叔乱用职权弄高亮撒！
大将风度叱咤花甲狮帖子:3535 注册: 2007-02-19 来自:织梦天空

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-06-30 09:46 \| 只看楼主短消息资料字号：小中大 7楼回复: 瑞星2010不能妥善处理病毒File.exe（附样本）引用: 原帖由大将风度于 2009-6-30 9:43:00 发表我举报~猫叔乱用职权弄高亮撒！此毒有些特点且是某网友解析挂马网页得到的DD。瑞星至今不报毒。设置高亮的目的是引起瑞星工程师的注意。此帖发了不到3分钟，就掉到了第二页。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

瑞星工程师18 在线技术支持工程师帖子:1589 注册: 2008-09-08 来自:	发表于： 2009-06-30 10:47 \| 短消息资料字号：小中大 8楼回复：瑞星2010不能妥善处理病毒File.exe（附样本）应该是无法再释放样本文件，这个要先分析一下问题原因
瑞星工程师18 在线技术支持工程师帖子:1589 注册: 2008-09-08 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT