声明：枪手死全家

y576926046

今天看到卡饭评测区的结果，微点套装98%查杀率

由于本人的综合症比较严重，所以卸载了红伞，装了微点

我装的是套装，也就是说微点主动防御还有微点杀毒我全部装了

文件名：mp.100506.1.2.10581.0284.r1（解压缩后的MD5：7BDC1316983A8F678F31FA9EC6006C6F）

文件名：MPAV.100427.1.2.10582.0167.r1（解压缩后的MD5：F04A9AEC91F0D6B6DD861B3EDBA8C223）


杯具来了，为了测试杀软的效果，咱去了样本区


下载了N多个样本，然后微点杀毒一个没报（在我之前的也有好多人截图说杀毒提示没毒）

无奈，我就实机运行了一下，杯具发生了，某卫士报的欢，微点没反应

（时间 处理结果 木马名称 木马进程名 木马文件创建者
2010-05-11 14:30:34 处理成功 Backdoor.Win32.Popwin.a C:\USERS\XIAOHU\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\YJP1IZ2N\BAIDUAD[1].JPG C:\WINDOWS\SYSTEM32\CONFIG\SPOOL32.EXE
2010-05-11 14:30:34 处理成功 未知木马 C:\WINDOWS\SYSTEM32\CONFIG\SPOOL32.EXE C:\WINDOWS\SYSTEM32\WSCRIPT.EXE
2010-05-11 14:30:29 处理成功 Backdoor.Win32.Popwin.a C:\WINDOWS\SVHOST0.EXE C:\WINDOWS\SYSTEM32\CONFIG\SPOOL32.EXE
2010-05-11 14:30:28 延时删除 Backdoor.Win32.Popwin.a C:\USERS\XIAOHU\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\YJP1IZ2N\BAIDUAD[1].JPG C:\WINDOWS\SYSTEM32\CONFIG\SPOOL32.EXE
）


最后用某卫士查杀一次，发现4个（可以理解为0，因为地址都是在垃圾箱中）

运行的中途提示了大约十来次，隔离掉了一部分


后来又用某木马专杀，第一次快速扫描除了5个，现在全盘，C盘还没扫完，扫出了4个（有两个在垃圾箱，可以理解为2个）



问：微点如何设置才能单奔？

第二问，应该用什么组合？ （系统是win-7 X86） 是用红伞还是AVAST! 还是ESET……  

还有就是金山2011的云安全好像很厉害的样子



非常感谢大家对我的帮助

我用虚拟机测试了一下，在不安装某卫士的情况下，运行了最后一次测试的那个脚本，微点叫的很欢（决定关闭某卫士的全部监控）

然后第一次测试的那个病毒包，还是没报（只是说是否允许程序访问网络，然后IP地址是安徽）

y576926046

下次再也不敢用实机测试病毒了………………


本来觉得麻烦，没用虚拟机……

初次

http://bbs.kafan.cn/thread-699773-1-1.html

解压缩之后某卫士直接干掉了，所以微点没有出手的机会


第一次，实机运行了其中的第一个的某一个，微点无提示，然后电脑被强行安装了有道桌面词典还有好压（暂时只发现这两个）

然后有道桌面词典多次想要修改注册表经行开机启动

微点杀毒一个没杀到（全默认，安装之后没有手动更新）

http://bbs.kafan.cn/thread-697391-1-1.html



最后一次

http://bbs.kafan.cn/thread-699605-1-2.html

我运行了其中的第一个，某卫士报了不下于十次



截图





备注：迅雷下的那个确定是误报，我上传到virscan扫描过了

cghzzz

牛人啊 我服了你了 实际玩毒 我好怕怕

......

第一、请问样本地址在哪？
第二、你装了主防没？
第三、假如你没装主防，某卫士却有主防，当某卫士拦截之后，微点当然不会报毒了呀？

unix

呵呵~！有点意思

y576926046

回复 5# ......


    一路默认，那个主动防御应该有装

然后地址很多，待会我全部贴出来


最后我估计多半和我不会设置有很大关系

smartdao

楼主只用的微点杀毒吗?不明白你是怎么测试的，你以为杀毒软件都是摆设吗？就是再烂，至少得有点反应吧

jpzy

微点主动防御是依靠行为分析进行查毒的。比如一个病毒，运行后首先释放一个文件到system32路径下，然后在调用这个释放出来的文件，被调用的病毒文件紧接着进行添加启动项和隐藏自身的行为。这一系列行为，在满足一定条件后（触发内部规则，阈值超过警戒值……），微点会将其认定为未知病毒，并且弹窗通知用户。

如果病毒在释放文件这一步，就被其它安软打断了，微点自然没办法判断此样本是好是坏了。

打个比方，缉毒警察怀疑一个人贩毒，于是派人跟踪他，只要认定这个人进入了某个酒店，跟某些人进行了交易，就可以认定他贩毒了。可是，在去酒店的路上，这个人驾车闯红灯，被交警扣留了。你说，对于缉毒警察来说，这个人到底是不是毒贩，能认定么？

......

回复  ......


    一路默认，那个主动防御应该有装

然后地址很多，待会我全部贴出来


最后我估 ...
y576926046 发表于 2010-5-11 15:14

显然没装，微点杀毒不带主防的。那么这样就明了了：你没装微点主防，这些病毒可能确实过了微点杀毒的扫描。但是你双击的时候，病毒被某卫士拦住了，当然微点杀毒有没有用也就不得而知了

y576926046

回复 8# jpzy


    问题是我已经运行了，而且那个程序已经释放出了病毒

比如强行安装桌面词典的那个，某卫士报告有木马，清除掉之后，还像雷锋默默做好事一样，给我装了好压