【企业用户注意】独家首发趋势科技8.720.1007引擎！

cs_virus

该引擎查杀 趋势中国 台湾 美国2008年7月16日截获的最新PE_SALITY.EK  PE_SALITY.EN  PE_SALITY.M三变种，该病毒我个人分析，应该产自于国外。

8.720.1007引擎修复：应该检测成为Worm_或者Troj_的病毒被检测为Packer-Gen的问题。

该病毒类型：PE文件型病毒

感染级别：高

感染文件：EXE

感染操作系统：Windows 2000, XP, Server 2003

感染症状：
感染机器所有盘符的EXE文件，将恶意代码注入到EXE正常文件中，破坏OFFICE所有EXE重要文件，无法使用，提示重新注册OFFICE组件。

停止杀毒软件服务，针对破坏杀毒软件，开机自动启动杀软后，自动退出，实时扫描 监听 防火墙无法启动，卸载杀软，重新安装提示拒绝安装。

出现本机登录配置文件可能损坏，新建账户后登陆暂时恢复 后又自动退出 杀软服务无法启动的假现象，机器死机，反应慢，进安全模式蓝屏，自动重启。

趋势8.720.1007引擎查杀结果：清除恶意代码，恢复EXE为正常文件。

企业用户网管请特别注意，8.710.1004引擎出现检测出PE_SALITY.XX病毒时，将会预示您网络中将出现大规模传播感染，传播速度相当快，扩散速度惊人，如有这样的症状请企业用户直接800电话联系技术中心或在此贴留言，我会告诉您如何处理。



【趋势单机更换方法】
（注：未在单机上测试过该引擎，出现问题本人慨不负责）：
解压后，直接覆盖C:\WINDOWS\SYSTEM32\DRIVERS，替换，重新启动计算机。




【趋势企业ServerProtect服务器 Officescan网络防毒墙服务端更换方法】
（已测试，企业用户可以直接更新服务端，再部署下发到客户机）：

1.下载页面下方的的引擎压缩文件更名为“tmengNT.zip”

2.把tmengNT.zip压缩包里面的文件解压缩到…\PCCSRV\pccnt\drv下

3.把tmengNT.zip文件复制到…\PCCSRV\Download和PCCSRV\Download\engine两个文件夹下

4.把PCCSRV\Download\engine下的tmengNT.zip改名为“eng_ntkd.zip”

5.右击eng_ntkd.zip文件，察看其属性，记录下该文件的大小834304

6.打开…\PCCSRV\Download\server.ini文件

7.CTRL+F，查找“ENGINE”，把其中的参数调整为

[ENGINE]
Path_VSAPI32_NT_KD=/engine/eng_ntkd.zip, 8.720.1007, 834304
E.10=VSAPI32_NT_KD, engine/eng_ntkd.zip, 8.720.1007, 834304 , 6.51.1002

8.保存该文件

9.打开…\PCCSRV\ofcscan.ini

10.CTRL+F，查找“INI_PROGRAM_VERSION_SECTION” 把“EngineNT_Version”的参数改为8.720.1007

11.保存该文件

12.进入控制台摘要和客户端帮助关于察看引擎是否已经更新，再分发客户端更新。




【趋势企业Officescan网络防毒墙客户端更换方法】：

将压缩包中的4个文件，Tmfilter.sys  tmpreflt.sys  tmxpflt.sys  VsapiNT.sys覆盖到Officescan客户端C:\Program Files\Trend Micro目录，覆盖替换。

退出Officescan客户端

再启动客户端即可。


未感染以上病毒的，请暂时使用官方的引擎，若未感染，企业用户部署出现问题本人慨不负责，特别声明。


8.720.1007引擎下载：


[ 本帖最后由 cs_virus 于 2008-7-20 22:34 编辑 ]

华姐

8.860.1001
还用8.720.1007？？？

cs_virus

原帖由 华姐 于 2008-7-20 22:33 发表
8.860.1001
还用8.720.1007？？？

官方更新的引擎仍然是8.710.1002。

kasper

自动更新的已经是18号的  8.700.1004   差不多哦

水木

如果是企业级用户倒可以一试

ssy275

谢谢分享

volunteer

企业用户有福了

pctool

升级服务器还未能同步

gho

企业版officescan专用？

yeow5243

趋势不错，很想试试。