个人开始怀疑sep11防御性能，带毒网页sep小测试，敢点的就试试看.(更新avk日志）

wodewowo

前几天重装系统，想换换杀毒软件，
就换上了sep11 mr3（最高启发）+诺顿反僵尸。

下午无聊在病毒样本区逛了一圈，
试了些样本和带毒网页，
越来越心凉，
不由越来越怀疑sep11的防御性能，
用诺顿的朋友一起来见识下，点开这些网页的时候你最好带上沙盘之类的，
否则我也不知道会怎样

重新编辑附上了原帖地址，
大家可以点进去看下边的回帖。
我就不明白，
别的杀软基本都报，我们的为什么不报呢？
是只有诺顿对了吗？

我技术层次很低，如果有什么言语不妥之处请高手谅解，谢谢。

最新PS:

我无意诋毁诺顿，只是有疑问想跟大家分享下，请有些朋友不要误会。

下面均为直接复制原帖：  


一，

再来一个带毒网站  hXXp://www.asdfi3.cn/111/zz.htm一个网友中毒之后无论打开什么网页都这样.
编辑一下,用瑞星的千万别进.进去就死.这个网友就是用的瑞星.

[ 本帖最后由 天堂碎尸人 于 2008-10-25 18:29 编辑 ]
附件 未命名.jpg (7.28 KB) 2008-10-25 17:36


原帖地址：http://bbs.kafan.cn/thread-355006-1-1.html



二，

被挂了卡巴进去就报了

hXXp://www.idoer.org/Article/200604/show337786c14p1.html
三，

这个是教育的网页但病毒无限Tags:

hXXp://www.h-edu.com/htm/200511/2005111009403215.htm
看看吧，费尔的警报很多。

原帖地址：http://bbs.kafan.cn/thread-355307-1-1.html

四，


卡饭的网站也挂马！

这个世界太疯狂了！耗子都给猫当伴娘了！


无意中点了卡饭中的广告居然瑞星也报毒了，不知是否误报啊！我不太信任RX



网址是！
hXXp://www.18258.com
原帖地址：http://bbs.kafan.cn/thread-355440-1-1.html

五，



超级毒网一个！！！！！Tags: 超级

hXXp://www.njgreat.com.cn/product.asp
原帖地址：http://bbs.kafan.cn/thread-355400-1-1.html

六，

趋势报的毒网！！Tags: 趋势

hXXp://www.shuichuli.com.cn/indexfile.files/pages.htm
原帖地址：http://bbs.kafan.cn/thread-355439-1-1.html

七，
三星中国代理商—华胜弘邦Tags: 华胜 弘邦
hXXp://www.hsrp.com.cn/
原帖地址：http://bbs.kafan.cn/thread-355307-1-1.html

------------------------------------------------------------------------------------------------------------------------------------------------

因为有朋友对我空口讲没有提供avk扫描证据，
而我晚上开机后AVK莫名毁灭导致没有日志可发掘，
我于晚上0点重新下载更新了AVK，
关掉巡警（sep和反僵尸防护开启），
点开那几个网页以身试毒，
给大家观赏实时的截图，



其间sep11及诺顿反僵尸没有任何反应，

日志见五楼。

——————————————————————————————————————————————————

再次重申，我不是在诋毁诺顿，

只是有疑问，想学习下知识而已，

如果我不问，

我永远都不会懂，

不是吗？

[ 本帖最后由 PlayWill 于 2008-10-27 02:02 编辑 ]

wodewowo

貌似很多人都说诺顿杀毒不行，
但防毒很强悍，
可这些网页挂马就这么简简单单的进来了，
我的sep11+诺顿反僵尸没有任何反应

[ 本帖最后由 wodewowo 于 2008-10-26 16:10 编辑 ]

yxxyun

楼主中毒了？唉。 不知道nis的表现是不是好点

00100

我的也没什么反映呀? 是不是要加强某个方面

wodewowo

我个人觉得是应该加强中国专用的病毒库，
上面的几个网页我用的畅游巡警除了最后一个全报，
看别人的回复小a，卡巴，瑞星，红伞等等等等几乎都报，
就诺顿不报。


avk扫描日志：

关于AVK防病毒软件的病毒扫描
版本 17.0.6282
从病毒数据库签名 26.10.2008
开始时间: 27.10.2008 00:02
引擎: AVP引擎 (AVK 19.1214), Avast/BD引擎 (AVB 19.79)
启发: 打开
压缩文件: 打开
系统区域: 打开
扫描系统区域...
扫描所选择的目录和文件...
对象: Ms06014[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\0EWX4JAD
状态: 文件移入隔离区
  病毒: VBS:Obfuscated-gen [Trj] (Avast/BD引擎)
对象: ss[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\0EWX4JAD
状态: 文件移入隔离区
  病毒: VBS:SnapshotView-A [Expl] (Avast/BD引擎)
对象: ss[2].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\0EWX4JAD
状态: 文件移入隔离区
  病毒: VBS:SnapshotView-A [Expl] (Avast/BD引擎)
对象: ifff[2].swf
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CNJN6GTT
状态: 文件移入隔离区
  病毒: Other:Malware-gen (Avast/BD引擎)
对象: Ms06014[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CNJN6GTT
状态: 文件移入隔离区
  病毒: VBS:Obfuscated-gen [Trj] (Avast/BD引擎)
对象: 13[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CTAZEXIP
状态: 文件移入隔离区
  病毒: VBS:Obfuscated-gen [Trj] (Avast/BD引擎)
对象: 14[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CTAZEXIP
状态: 文件移入隔离区
  病毒: JS:Packed-E [Trj] (Avast/BD引擎)
对象: ss[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CTAZEXIP
状态: 文件移入隔离区
  病毒: VBS:SnapshotView-A [Expl] (Avast/BD引擎)
对象: fxx[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GP6ZSPMF
状态: 文件移入隔离区
  病毒: VBS:Obfuscated-gen [Trj] (Avast/BD引擎)
对象: as[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\MKPJVM2P
状态: 文件移入隔离区
  病毒: JS:Packed-E [Trj] (Avast/BD引擎)
对象: fxx[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUB4XI3
状态: 文件移入隔离区
  病毒: VBS:Obfuscated-gen [Trj] (Avast/BD引擎)
对象: pages[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUB4XI3
状态: 文件移入隔离区
  病毒: Trojan-Clicker.HTML.IFrame.js (AVP引擎)
对象: fxx[1].htm
路径: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Y9WFA9M5
状态: 文件移入隔离区
  病毒: VBS:Obfuscated-gen [Trj] (Avast/BD引擎)
对象: AntiVirusKit2007 Plus Lite !pss-en.exe
  在压缩档案里: C:\Documents and Settings\Administrator\桌面\AntiVirusKit2007 Plus(AVK2007++)三引擎三语言精简绿色版本_by_hzqedison.zip
状态: 已发现病毒
  病毒: Trojan-Downloader.Win32.Banload.rko (AVP引擎)
对象: AntiVirusKit2007 Plus(AVK2007++)三引擎三语言精简绿色版本_by_hzqedison.zip 《这个是avk绿色版的注册文件，可以判定误报》
路径: C:\Documents and Settings\Administrator\桌面
状态: 已发现病毒
  病毒: Trojan-Downloader.Win32.Banload.rko (AVP引擎)
对象: files\BaiduBar.dll     《百删不挠的百度插件，不可避免。》
  在压缩档案里: C:\Documents and Settings\Administrator\桌面\ttpsetup.exe 《千千静听安装文件，应该是误报》
状态: 已发现病毒
  病毒: Win32:Adware-gen [Adw] (Avast/BD引擎)
对象: ttpsetup.exe
路径: C:\Documents and Settings\Administrator\桌面
状态: 文件移入隔离区
  病毒: Win32:Adware-gen [Adw] (Avast/BD引擎)
对象: fxx.htm
路径: C:\Documents and Settings\Administrator\桌面\新建文件夹\青岛市：研究生网上报名现场信息确认从今天开始---中国高等教育网.files\0.files
状态: 文件移入隔离区
  病毒: VBS:Obfuscated-gen [Trj] (Avast/BD引擎)

《这里起应该是诺顿的隔离区》
对象: 4DD7F24D.VBN
路径: C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\0CD40000
状态: 已发现病毒
  病毒: Trojan-Downloader.Win32.Banload.rko (AVP引擎)
对象: 4F4C5069.VBN
路径: C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\0E480001
状态: 已发现病毒
  病毒: Trojan-Downloader.Win32.Banload.rko (AVP引擎)
对象: 4F4C6EF2.VBN
路径: C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\0E480002
状态: 已发现病毒
  病毒: Trojan-Downloader.Win32.Banload.rko (AVP引擎)
对象: 4F4C87D8.VBN
路径: C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\0E480003
状态: 已发现病毒
  病毒: Trojan-PSW.Win32.Agent.lbc (AVP引擎)
分析完成: 27.10.2008 01:02
    已扫描 17729 个文件
    已发现 20 个感染文件
    发现 0 个可疑文件

[ 本帖最后由 wodewowo 于 2008-10-27 01:23 编辑 ]

zwl2828

你怎么知道进来了？万一是你的浏览器挡住了呢？万一是你打了补丁，没法调用漏洞呢？

wodewowo

原帖由 zwl2828 于 2008-10-26 16:27 发表
你怎么知道进来了？万一是你的浏览器挡住了呢？万一是你打了补丁，没法调用漏洞呢？

我关闭了畅游巡警，
重新开了次，
流畅的点开了，
诺顿没有任何提示，
畅游恐怕无法强大到直接侵入网站删除网页上面挂的马吧。
刚用avk2007绿色版杀了一遍c盘，
已经全部清除了。
图忘记截了，无法给你看了。

还有别的杀软基本都报，我们的为什么不报呢？
是只有诺顿对了吗？

wjhstu-VxG

不能通过报还是不报判断防御力的强弱~~~特别是网页威胁~~~如果LZ的机子上没漏洞，不报很正常~~~对于某些及第三方漏洞的网马，诺顿的IPS只在攻击发生时拦截~~~这样可以网络防护提高效率，减少对网速的影响~~~用过诺顿的朋友都知道，NIS对网速影响几乎没有~~

[ 本帖最后由 wjhstu-VxG 于 2008-10-26 16:41 编辑 ]

咖啡反病毒

原帖由 zwl2828 于 2008-10-26 16:27 发表
你怎么知道进来了？万一是你的浏览器挡住了呢？万一是你打了补丁，没法调用漏洞呢？

就IE那个破浏览器还挡住啊？你要说OP浏览器挡住我还信

zwl2828

原帖由 咖啡反病毒 于 2008-10-26 16:42 发表


就IE那个破浏览器还挡住啊？你要说OP浏览器挡住我还信

IE浏览器怎么就破了？我这里多少挂马都是靠IE拦下来的？！