遇到病毒问题需要收集哪些信息提交给趋势科技？

尘梦幽然

病毒问题 性质		具体情况		收集信息
已知 病毒	处理 成功	感染型	文件损坏、无法运行	感染前的文件、感染后的文件或者病毒母体，病毒日志
			反复被检测	病毒日志，反复被检测的文件
			要求分析病毒行为	原始样本或隔离文件
		非感染型	反复被检测	隔离文件，ATTK，病毒日志
			宏病毒清理后报错	原始样本，病毒日志
			病毒行为分析	原始样本或隔离文件
	处理 失败	感染型	清除失败，被隔离	样本文件或隔离文件，病毒日志
		非感染型	隔离失败	样本文件，病毒日志
			CRYP,POSSIBLE等	样本文件，病毒日志
			宏病毒被隔离	原始样本或隔离文件
			MBR病毒	MBR DUMP，病毒日志
未知 病毒（疑似）		网络异常，怀疑ARP		抓包，对异常主机（流量大等问题）抓取ATTK
		某些进程占用异常		ATTK，进程文件，相关进程信息
		CAD运行异常		DWG所在目录中lsp,fas,vlx,mnl文件
		明显恶意行为		ATTK，可疑样本，异常情况描述或截图
		第三方平台检测		样本文件，检测报告（可选）
误报		特征码误杀		原始样本或隔离文件
垃圾 邮件		正常邮件被拦截或举报		提交邮件样本（邮件另存为msg,eml格式）
URL 问题		URL被拦截或者举报		提交URL链接

备注：
感染型病毒	多指检测名为PE开头的病毒。感染型指在正常文件中插入恶意代码，多数情况下可以通过“清除”措施清除恶意代码，修复正常文件。注：一般-O结尾的PE是母体文件，无法清除，只能隔离。
执行文件被破坏	感染前的文件（可以从其他没感染的机器或者原始安装包中提取），感染后的文件（隔离目录下）或者病毒母体。
宏病毒清除后打开异常	收集样本，可以先设置一个例外目录，创建一个新的Office文件，打开文件，保存关闭，将文件加密压缩发送给我们。
宏病毒被隔离	必须提供原始样本文件，确保样本未被产品或者第三方检测，发送时注意加密压缩。
网络异常，怀疑ARP	使用Wireshark在故障出现时抓包，提交前请注意加密压缩。

原文地址：http://mp.weixin.qq.com/s?__biz= ... eedb20848133735f7af

huihui458

你不是准备转战场了么

尘梦幽然

huihui458 发表于 2015-3-15 18:38
你不是准备转战场了么

我打算转去哪？

欧阳宣

呵，和诺顿一样，提交个误报麻烦的要死。

尘梦幽然

欧阳宣 发表于 2015-3-15 23:24
呵，和诺顿一样，提交个误报麻烦的要死。

还好，诺顿那种运行体制对于个人用户来说很致命。
趋势这样基本上是一封邮件加一个电话解决问题

欧阳宣

尘梦幽然 发表于 2015-3-16 00:01
还好，诺顿那种运行体制对于个人用户来说很致命。
趋势这样基本上是一封邮件加一个电话解决问题

诺顿还基本无电话可打

尘梦幽然

欧阳宣 发表于 2015-3-16 09:04
诺顿还基本无电话可打

趋势英文客服和诺顿中国客服的态度无比的相似啊。
对于病毒问题，你和趋势英文客服说你提交可疑文件，别的厂商杀了你们不杀，他都是统一的回复：我扫描了这个文件，它是安全的。
至于台湾趋势客服，嗯，稍好一点，不过对于病毒样本分析要求也是处理得很随便。
所以试了这么多次，我还是觉得趋势中国客服服务最好。。英文版那边，杀毒服务是要单独收费的。
但是趋势中国，则是提交样本，我就给你分析。
你中毒了，我也帮你解决。

明月丶舞白衣

趋势中国不错