蜘蛛有个问题不好

winr

上午打开某个网页，然后电脑就突然变得很卡，蜘蛛警告发现了木马，我点了删除，此刻发现木马已经活动了……

杀毒，后来想想还是重装了系统……

记得以前也发生过一次，病毒能发现且杀灭，就是拦截不及时，对方已经活动了……

winr

我装的是5.0版。大家有没有遇到过这样的情况？还是我哪里设置的问题？

小淘气

？你用全功能的？我用大蜘蛛有网页防挂马、

62998511

没遇过这种。早换伞了

久远寺有珠

没有用过蜘蛛

留侯

建议楼主上传一下SpIDer Guard和SpIDer Gate的日志吧！
SpIDer Guard G3 log ：
%ProgramFiles%\drweb\spiderg3.log
SpIDer Gate log ：
%USERPROFILE%\DoctorWeb\ spidergate.log

打开某个网页的话，大蜘蛛有双重防御。

首先是SpIDer Gate，也就是网络监控。
SpIDer Gate会扫描端口，对于网页上的可疑文件、风险软件、拨号程序、黑客工具、广告程序、玩笑程序等等，SpIDer Gate会检查并阻止。

我记得SpIDer Gate应该是输出和输入流量的双向检查，默认并检测压缩文件，这就是为何楼主的系统会比较卡的一个原因，因为大蜘蛛SpIDer Gate在调用扫描引擎执行扫描。

第二层防御，是SpIDer Guard（实时监控）。
网站的木马要想运行，需要先将木马病毒下载到本地硬盘，然后启动运行。而大蜘蛛的SpIDer Guard监控模式就有效地执行了防御。我这里讲一下SpIDer Guard增强型智能监控模式：
在此模式下，只有在跟踪到尝试创建文件或记录写入到现有文件（或引导区）时，才扫描计算机硬盘驱动器的文件和引导区。

默认情况下，SpIDer Guard启用增强保护模式。在此模式下，SpIDer Guard会立即检查所有文件，扫描在程序设置中指定的内容，且所有其它打开的文件均进入队列中等待检查（在“智能”和“创建和写入文件”模式中打开进行读取的文件）。在计算机资源可用的情况下，SpIDer Guard还将检查这些文件。

即使是这个木马程序，会下载之后自动运行，我也仍保持怀疑态度，楼主为何说这个木马已经是运行了？这也就是为何我需要楼主提供SpIDer Guard和SpIDer Gate日志的原因。因为我怀疑，这是时间差的问题。而不是这个木马已经在运行了。

maomao110

没用过大蜘蛛哦

留侯

我说的时间差，指的是大蜘蛛扫描时间，和报告时间（也就是在桌面显示通知时间）之间的差距，让楼主误以为木马病毒已经运行了。因为我的电脑也经常出现这样的情况，我在样本区下载的样本，很多都是压缩文件，我解压之后，需要过上十几秒时间，大蜘蛛SpIDer Guard才会显示通知，有一定的滞后性。

好吧！我将这个监控的过程及可能性描述一下：

1、这个恶意程序由SpIDer Gate侦测到，而5.0版本默认设置为扫描压缩文件，6.0版本取消。由于这个网页木马是压缩文件，所以占用了一定的资源，导致了SpIDer Gate显示通知时间的延后；

2、恶意程序由SpIDer Guard侦测到，由于SpIDer Guard5.0版本，默认是不扫描压缩文件的，所以这个很可能不是压缩文件，那么第1点则不成立。到那时SpIDer Guard也延后通知，为何？

正如上面所说的，大蜘蛛SpIDer Guard的智能监控模式，会不停地扫描那些正在运行的程序和文件，当楼主打开这个网页的时候，网页上的木马和其他正常的文件，都会下载到本地硬盘，创建了虚拟的文件，那么，大蜘蛛则会将这些文件逐一检查，碰到某些大型文件，可能检查的时间会延后，因为无法保证木马是在第一时间被检测，因为这个木马它必须“排队”接受检查，所以这也需要一定的时间，要是这个木马加了壳，很不幸，由于大蜘蛛采用的是虚拟机脱壳技术，那还得等上个几毫秒或者几微妙的时间，而且这个时候，会占用系统一定的资源，也会导致系统速度运行缓慢。

3、这个木马，它是一个压缩文件，虽然它表面上是一个exe执行文件，或者是伪装为其他的文件格式，很不幸，它成功地躲过了SpIDer Gate的网页监控，由于SpIDer Guard默认是不扫描压缩文件的，所以它也躲过了SpIDer Guard实时扫描。

但是既然是木马，那么下载到本地硬盘之后，还是需要运行的，是的，正如楼主所说的，它运行了——慢着，它感染计算机了么？答案是否定的，因为它首先要解压自身，释放压缩文件内的文件，来感染电脑，对！就是这个时候，SpIDer Guard侦测到了——并将此报告在桌面右下角显示出来，通知了用户。然而，对于楼主来说，这个通知时间，好像也是延后了。

那么，可能会有用户会再次问道：这个压缩文件格式的木马病毒，它感染系统了吗？答案仍然是否定的，为何？我们来假设一下：
A、这个样本（源文件）是直接以常用的压缩方式压缩的，或者是自解压格式，那么，他会调用系统的解压软件执行解压，大蜘蛛会扫描源文件、解压软件和源文件解压之后生成的新文件，此时SpIDer Guard报告，解压之后的文件有毒，大蜘蛛则会删除这些衍生物，并阻止这个源文件的运行；
B、这个样本（源文件）采用加壳压缩的方式压缩，那么大蜘蛛在其运行的时候，会执行虚拟脱壳扫描，扫描的结果有毒，大蜘蛛会直接隔离或者删除这个源文件。

综上所述，我并不认为，这是大蜘蛛的一个BUG。而是其监控原理所产生的这么一个结果。实际上并不需要我说这么说的废话，楼主上传一下SpIDer Guard和SpIDer Gate监控日志，一查便知。或者是到样本区是下载一个样本，解压之后，查看一下解压时间和SpIDer Guard显示通知之间的时间差。

大蜘蛛默认的设置是经过优化的，不需要执行太多的自定义设置，要是有所建议的话。我建议楼主将版本升级到6.0版本，因为6.0版本的软件构架，远胜于5.0版本。

gold2007

用大蜘蛛7.0波！

4毛5的诺顿

去用最新的7.0吧