意外的收获

复读Z

看着这个图是不是很爽啊？



记得早年的时候，每次装防毒软件，查杀到这些病毒的时候，最为开心不过了，“小样，就是你在后台搞鬼啊！”那种查杀病毒的快感啊，难以言表。

警报列表的那些exe格式的程序都是病毒程序，自动在对应文件夹的下面生成同名的程序。这个程序有点可恶。

对这个病毒，Avast Free AntiVirus 2015的反应有点迟钝，必须手动打开对应文件夹，它才会报警。

对这个病毒，Symantec Endpoint Protection 12.1.2015没有任何反应，也是我没给它反应的机会，直接进入CMD命令模式下，一个命令del *.exe /s命令全部删除。

由于删除及时，所以实机下测试没有发现任何问题。

换到虚拟机上解压测试。对这个病毒，McAfee VirusScan Enterprise 8.8在解压的过程中立即作出了响应，并出现如图所示的警报列表。

既然说到解压，那么肯定要先打包。在打包之前，我已经使用Avast Free AntiVirus 2015（2014年11月7日的病毒库）开机全盘扫描了系统，所以这才打包，并放心的在实机上解压，没想到Symantec Endpoint Protection查出病毒。

通过这次意外，可以得出一个结论：
最先安装的是金山毒霸（悟空）最新版，但是查出几个病毒后，就没啥反应了。很让人失望。
McAfee VirusScan Enterprise 8.8打上最新病毒库后的防毒能力是一流的（不更新病毒库的McAfee的表现则有点差劲，因为电脑装机的时候装的就是McAfee VirusScan Enterprise 8，但9年没更新病毒库了），至少可以省去手动删除病毒的步骤了；
Symantec Endpoint Protection的防毒能力不好说，因为手动删除了病毒，并没有给它表现的机会；
但是Avast Free Antivirus 2015开机扫描后，病毒仍然存在，并且还能打包，杀毒能力肯定存在问题，但U盘至少不会感染病毒，可以用一下这个软件保护U盘。

最后补充一点：
但无论是其中的哪一个软件：均没能对隐藏的病毒文件进行查杀，非要我进入CMD命令到U盘下执行attrib -h -s命令后，才能查杀病毒，包括McAfee VirusScan Enterprise 8.8也是一样的。看来防毒软件也不是万能的，良好的习惯才是保护电脑不中毒的第一守则。

复读Z

只是两个小小的病毒而已，却横行了这么多年，造成那么大的破坏。
要不是对这些东西进行整理，也不会发现Avast Free Antivirus 2015居然没有查杀完病毒的问题。更不会发现这么多问题。

KLLIMKNE

基本上我发现不容易解决的病毒时(下载者木马什么的就算了吧，分分钟手动完美解决)能重装系统完全解决的就重装系统，不能通过重装系统完全解决的再考虑用杀软干掉或者是用急救类软件，实在不行尝试手杀。。。。。。。。。。不过话说回来我这十年来从来没中过病毒。。。。

欧阳宣

咖啡的监控是灵敏得很，不过光说数量我可能一周就能超过你

复读Z

KLLIMKNE 发表于 2014-11-30 08:10
基本上我发现不容易解决的病毒时(下载者木马什么的就算了吧，分分钟手动完美解决)能重装系统完全解决的就重 ...

文档全都不要了，直接重装系统，倒是非常省事儿的。
这是在整理文档，重装系统只解决了系统中毒的问题，实际仍然没有解决问题。
我用赛门铁克的防毒软件多年，也没出现过电脑中毒的情况。这次小A差点害死我了。
还好我处理及时、果断，不然后果不堪设想。
（因为，Symantec AntiVirus Client的防毒能力非常棒，但是Symantec Endpoint Protection 12的防毒能力怎么样就不知道了，我没试过。没试过的东西我还是有点担心。）

复读Z

欧阳宣 发表于 2014-11-30 10:08
咖啡的监控是灵敏得很，不过光说数量我可能一周就能超过你

那你的电脑配置一定非常好。
给你晒一下中这些病毒9年的电脑的配置：
主机名:
OS 名称: Microsoft Windows XP Professional
OS 版本: 5.1.2600 Service Pack 2 Build 2600
OS 制造商: Microsoft Corporation
OS 配置: 独立工作站
OS 构件类型: Uniprocessor Free
注册的所有人:
注册的组织:
产品 ID: 55274-640-1532467-23640
初始安装日期: 2005-8-22, 14:00:43
系统启动时间: 0 天 0 小时 22 分 8 秒
系统制造商:
系统型号: AWRDACPI
系统类型: X86-based PC
处理器: 安装了 1 个处理器。
[01]: x86 Family 15 Model 4 Stepping 1 GenuineIntel ~2144 Mhz
BIOS 版本: GBT - 42302e31
Windows 目录: C:\WINDOWS
系统目录: C:\WINDOWS\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: 暂缺
物理内存总量: 223 MB
可用的物理内存: 53 MB
虚拟内存: 最大值: 2,048 MB
虚拟内存: 可用: 2,005 MB
虚拟内存: 使用中: 43 MB
页面文件位置: C:\pagefile.sys
域: WORKGROUP
登录服务器: \\KMDJ-691CFEFD74
修补程序: 安装了 3 个修补程序。
[01]: File 1
[02]: Q147222
[03]: KB893803v2 - Update
网卡: 安装了 1 个 NIC。
[01]: VIA Rhine II Fast Ethernet Adapter
连接名: 本地连接
状态: 媒体连接已中断
看我的另一个帖子http://bbs.kafan.cn/thread-1790703-1-1.html

KLLIMKNE

复读Z 发表于 2014-11-30 10:12
文档全都不要了，直接重装系统，倒是非常省事儿的。
这是在整理文档，重装系统只解决了系统中毒的问题， ...

我一般文档不存在C盘。。。。
现在正在用诺顿，以前折腾过SEP墙的规则，现在不折腾了。。。。

复读Z

KLLIMKNE 发表于 2014-11-30 10:28
我一般文档不存在C盘。。。。
现在正在用诺顿，以前折腾过SEP墙的规则，现在不折腾了。。。。

貌似我说得不够清楚，这是几十台孤立电脑整合在一起的文档，我只是在自己的电脑上整理。
我用的也是诺顿的，准确的说是赛门铁克的SEP 12。握手。

尘梦幽然

求样本。没样本就无法确定是不是真的有害或者是怎么样呢，
我也很想知道这个样本质量怎么样

建极绥猷

KLLIMKNE 发表于 2014-11-30 10:28
我一般文档不存在C盘。。。。
现在正在用诺顿，以前折腾过SEP墙的规则，现在不折腾了。。。。

怎么激活？虚拟机提取激活码吗?