查看: 11950|回复: 34
收起左侧

[讨论] Shadow Defender 是否会被误认为是鬼影?

  [复制链接]
kyqm
发表于 2011-8-7 13:48:06 | 显示全部楼层 |阅读模式
本帖最后由 kyqm 于 2011-8-7 19:03 编辑

Shadow Defender 是否会被误认为是鬼影?


重装系统出现个怪事

装完系统后装上个Shadow Defender(论坛上星空打包的),然后用金山的鬼影专杀扫描一遍,发现有四个文件染毒
未命名.PNG
我想可能是装杂七杂八软件时染上了毒吧,退出Shadow Defender重启之后又再次用鬼影专杀扫描一遍,好了,没毒了。

然后把Shadow Defender加上保护,再扫一遍,悲剧了,又发现四个病毒

我不知道,到底是真的Shadow Defender被病毒感染,还是Shadow Defender修改了MBR或者哪个敏感地方导致报毒?

请专家,高手,网友一起分析一下。


补充一下,我用的是Eset Smart Security ,扫描系统内存及C:,没发现病毒。
——————————————————————————————————————————————————————
日志文件:
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成
——————————————————————————————————————————————————————

换个思路,再找一台机子,装SD,也用专杀扫一遍,看看是否会重现问题,
哪位朋友也试试看?


我用家里另一台电脑尝试了一下,SD没有保护时没扫出鬼影,SD加上保护后,扫除了5个病毒
日志为
2,0110807,,免疫:,,C:\Documents and Settings\Administrator\Local Settings\Temp\tmp.tmp,,0,,000000000000000000,,0
2,0110807,,免疫:,,C:\WINDOWS\system32\xp-b1393be4.exe,,0,,000000000000000000,,0
2,0110807,,免疫:,,C:\WINDOWS\system32\b3b4da\393be4.exe,,0,,000000000000000000,,0
2,0110807,,免疫:,,C:\WINDOWS\system32\1ea28c\ed3dc2.exe,,0,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\regsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0


但是两台机子软件差不多,所以担心这个例子没有代表性

哪位有空也帮忙测试一下。
FreeEquFraT
发表于 2011-8-7 14:07:25 | 显示全部楼层
本帖最后由 FreeEquFraT 于 2011-8-7 14:10 编辑

如果是论坛星空大侠打包的应该是没问题的,SD不会改MBR(除非处于影子保护时,MBR被修改过),影子基本都不改MBR的,相反的,SD可以保护你的MBR,MBR修改了可以被SD还原的。
估计是SD的一些钩子被误认为是鬼影吧。

评分

参与人数 1经验 +2 收起 理由
詩、未詺 + 2 感谢解答: )

查看全部评分

zby_1991
发表于 2011-8-7 14:21:20 | 显示全部楼层
lz注意,这些个 专杀 都是有启发的

另外,可以看看专杀的日志,见“查看日志”,看是什么东西被杀掉了
kyqm
 楼主| 发表于 2011-8-7 14:24:38 | 显示全部楼层
日志文件:
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,diskpt.sys,,恶意驱动,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\pchsvc.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\6to4.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,C:\WINDOWS\system32\ias.dll,,重启删除,,21,,000000000000000000,,0
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,,0,,000000000000000000,,0
kyqm
 楼主| 发表于 2011-8-7 14:25:50 | 显示全部楼层
看不懂日志
种过一豆
发表于 2011-8-7 14:31:44 | 显示全部楼层
diskpt.sys  ---- 恶意驱动

这个是sd的驱动,不知道是不是误报了
kyqm
 楼主| 发表于 2011-8-7 14:32:10 | 显示全部楼层
pchsvc.dll
进程文件        pchsvc.dll       

进程名称 Microsoft PCHealth Service Holder
英文描述        pchsvc.dll is a process associated with Microsoft PCHealth Service Holder from Microsoft Corporation.转自911CHA.com
进程分析 N/A转自www.911CHA.com
进程位置       
程序用途
作者        Microsoft Corporation
属于 Microsoft Windows Operating System
安全等级        0 (N/A无危险 5最危险)
间碟软件 否
广告软件 否
病毒        否
木马        否
系统进程 否
应用程序 否
后台程序        否
使用访问        否
访问互联网        否



评分

参与人数 1经验 +3 收起 理由
詩、未詺 + 3 感谢解答: )

查看全部评分

nazisoft
发表于 2011-8-7 14:43:34 | 显示全部楼层
单点影子都不修改MBR,对“diskpt.sys”应该是误报
FreeEquFraT
发表于 2011-8-7 14:48:45 | 显示全部楼层
kyqm 发表于 2011-8-7 14:24
日志文件:
2,0110807,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl,,删除注册表成功,, ...

日志文件除了diskpt.sys是SD的驱动外,其他的文件好像都不是SD的,而且\CurrentControlSet\Services\kisknl 这个驱动好像是金山的吧,楼主看看这个注册表下的驱动文件在哪里,校验一下是不是金山的。
kyqm
 楼主| 发表于 2011-8-7 15:17:32 | 显示全部楼层
没找到,,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kisknl这个分支啊?
2.PNG
纳闷,

(现在还是带毒状态,没有用专杀清除)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 20:38 , Processed in 0.146604 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表