中了一堆病毒，费尔及时发现，但是……（附图）

月影天心

费尔是我一直非常喜欢的安全软件，低资源占用、监控灵敏度高、杀毒能力强，就是在刚刚浏览网站的时候，费尔监控突然弹出一堆报警信息，提示一堆盗号木马，心里那个汗，赶紧“杀”、“杀”、“杀”，结束了重新扫描了系统，又查出一些漏网之鱼，照样统统“杀”，看看图1和图2吧，竟有几十个木马、广告程序。







心想这下系统应该干净了，恩~~~，看看有没有什么危险进程吧，按住“Ctrl+Alt+Del”，咦？怎么没反应？莫不是要重新启动？重启之后，还没完全进入桌面，费尔又弹出一堆报警窗口，还是刚才那些病毒，再次清除后想调出任务管理器，还是没反应，这下基本肯定应该是病毒程序已经运行，而任务管理器被劫持。

由此可以初步判断，图1和图2中所列出的大量病毒木马应该是被“释放”出的，主病毒体应该属于恶意下载器之类，而费尔无法识别已经运行的病毒，因此随着系统启动，各种木马病毒被不断释放出来，屡杀屡有，无法彻底清除。

运行冰刃，倒是可以成功运行，但是看不到可疑进程（如图3图4），难道一切正常？或者病毒运用了Rootkits技术？（内核中应该有病毒的驱动）




运行“Windows清理助手”再次扫描，My God！！！这么多漏网之鱼！！！（18个！！）（见图5）



仔细观察，发现正在运行可疑进程“C：\WINDOWS\System32\VistaAA.exe”是病毒主体，正是该病毒释放并运行了大量的木马、广告程序，导致任务管理器被劫持，IE主页被修改（见图6），图7中用红色标出的即是病毒篡改的IE主页痕迹。运用“驱动级清理”全面清理，重新启动，费尔没有再次弹出警告，任务管理器已经可以打开。





用SREngPS扫描系统，查看报告没有发现问题，基本确定病毒清除成功。

经历此次中毒事件，对费尔在反病毒中的表现我有几点看法：
1、费尔的监控的确灵敏，及时捕捉到了病毒，并准确清除，这点值得肯定；
2、但是，由于费尔无法发现主病毒体，导致病毒不断出现，屡杀不绝；
3、费尔的FDDS系统无法准确结束病毒进程，导致费尔在病毒前基本上变成一个“摆设”；
4、通过运行“Windows清理助手”，发现病毒篡改了很多注册表的相关健值（没有及时截图，请谅解~~），例如映象劫持、自我保护、自动终止相关杀毒软件的进程，但费尔在扫描清除病毒过程中只是杀除病毒文件，并没有修复被破坏的注册表值，这里说明一点，费尔的“注册表监控”我并没有打开，不知道打开后能不能及时阻止病毒破坏（至少费尔不能及时修复“任务管理器”的劫持）；
5、另外，病毒将TXT、INI、CHM的关联破坏，费尔在扫描时也没有任何提示，最后仍需手动修复。

所以，向费尔提出建议如下：

费尔的清毒能力（更准确的说应该是修复能力）、FDDS主动防御仍旧需要不断完善，那个“系统快速修复”选项卡中的修复选项个人感觉应该进一步改进，应该导入更智能的“自动修复”，另外，应该加入组策略修复、更多的关联修复、更多的Shell和IE修复、HOSTS修复等等，最好加入对Rootkits的检测，最后祝费尔越来越好。

[ 本帖最后由 月影天心 于 2008-5-4 00:11 编辑 ]

邀请

由于费尔无法发现主病毒体，导致病毒不断出现，屡杀不绝；

有时候是这样,因为主体没入库,


有时候是有残留,已经没有危害,清理助手又助手了下,所以我要推荐费尔+清理助手!

barth

我有一次中了.vbs病毒也是，费尔可以每次都杀死病毒进程，但是没有办法阻止病毒主体。。。导致一直不停的杀杀杀，但是却没有阻止病毒的再创建。。。

小飞侠.net

有些是做了免杀的或现在有一些木马下载器是从指定网址下载~~最新盗号木马列表.txt

suntao

确实出现过杀毒后又出现的情况

weconnect

费尔要增加一些智能化在里面了，即可以根据病毒文件的来源来确定主体病毒，这样就会好多了……还有就是不能见了病毒只会删除！

28654621

以前就发现动态防御有时候不能结束病毒进程 (提示窗口显示已经结束进程 但是日志里面记录 结束进程失败)

应该打开注册表监控 并且选上关联程序(好象是这个名字吧  单位的电脑装的咔吧)
这样有任何程序添加启动项费尔都会提示 并且报告添加启动项的那个程序

任务管理器 不能用 费尔能修复的吧  系统快速修复里面

[ 本帖最后由 28654621 于 2008-4-29 17:07 编辑 ]

Filseclab

感谢你的反馈，关于你的问题如果打开了注册表监控那么将会有助于你清除一些注册表破坏，因为注册表监控具有修复关联等重要陷阱敏感信息。另外这次主要没有清除干净的原因就是没有识别出主体程序下载器，而且此病毒应该针对了费尔的动态防御做了专门的伪装，所以没有被识别出来。实际上这种漏杀的情况在防毒软件中非常常见的，费尔会在以后争取做得更好。谢谢。

813kr

我来支持费尔了

楼主的签名可以借我一用吗？偶也是尤文图斯的球迷

booke

清理助手……没感觉很厉害……可能就你的情况而言，它找到的差不多都是残体