小红伞avira antivir内存占用及不能有效杀U盘病毒的实例

sdyccyb

昨天在办公室电脑虚拟机里装了c版小红伞，vmware＋deepin，192M内存
总体感觉还行，但是有两个问题，跟网上流传的有些出入，请红伞迷和要装红伞的人看一下。
1。内存占用
附图里有说明，是开机三分钟左右的截图，另外我设置的是启发最高级（毕竟杀毒软件不是摆设需要这样设置）
两个进程加起来大约占34.6M的内存。开机十几分钟后仍然如此，不再附图。
2。查杀U盘病毒的实例
昨晚家里老婆U盘带来了一个木马，具体名字我没记，特点是四个文件：autorun.info, iexplorer.exe, svch0st.exe, tel.xls.exe, msvcr71.dll，其中autorun指向tel.xls.exe，tel.xls.exe伪装成excel图标，也就是说svch0st和 iexplorer很可能不会复制自身（没有尝试）。需要说明的是我禁用了自动播放。
A：dr.web4.33的表现
家里电脑装的是dr.web4.33，插入U盘后没有马上反应。双击tel.xls.exe后，dr.web立即报警发现一个病毒，并提示将 tel.xls.exe删除。删除这个文件后，手动扫描U盘，Dr.web没有进一步发现病毒。随即发现该病毒禁用了显示隐藏文件选项，稍微修改注册表后搞定了。没有继续尝试下去。
B：小红伞C版表现
今天在办公室虚拟机里尝试小红伞的表现，预先设置为显示所有文件（含系统文件），同样禁用了自动播放。插入U盘后，打开U盘根目录，小红伞马上报警，将 iexplorer.exe和svch0st.exe报成两个病毒并提示删除。删除这两个文件后，手动扫描后没有进一步发现病毒。然后双击 tel.xls.exe，小红伞照样没反应，但我的电脑里已经多了一个病毒进程:algsrv.exe，并且病毒已经将两个关键文件sockA.exe和 fileKan.exe拷贝到了系统文件夹，并设置了开机自动启动，修改了注册表使不能修改显示隐藏文件。随后费了好大功夫才将这个病毒手动删除掉。
结论是：
在这个U盘病毒上，小红伞的反应能力不能令人满意。如果我没有禁用自动播放，病毒自然已经感染了电脑而小红伞毫无反应。
第二个结论是，查出的病毒数量不是绝对的指标，dr.web查出了一个，小红伞查出了两个，但dr.web查出的是关键文件，而小红伞恰恰相反，把该查的tel.xls.exe给漏掉了。

[ 本帖最后由 sdyccyb 于 2007-1-8 09:49 编辑 ]

sdyccyb

不好意思，带着附图上传了好几次都失败了，所以只好暂时不贴图

blackfox

小红伞对U盘病毒确实查杀不好，我也试验过，很多U盘毒红伞没反应

Oceanzd

可能是附件太大了或者不符合格式，可以再试一遍

volcano

红伞就是对U盘传播的病毒反映不行，上次一个SXS.exe和autorun.inf在红伞的机子上只能杀掉sxs.exe，但是对autorun.inf却一点反应都没有，但是在mcafee的机子上，两个都删除了，但是实在受不了mcafee那么复杂的东西，所以还是用红伞，希望他能更强一些！

tcs

看来以后要少用移动存储设备了。

mofunzone

首先我不知道你什么时候做的这个测试，tel.xls.exe这个病毒是我亲自上报给antivir了并且之后可以查杀，怀疑你的是新的变种，如果样本还在的话用样本区发一下。。
助于autorun.inf这个文件，和ini一样，只是一个文本文档而已，目的是为了自动运行病毒主题及exe文件，你把exe删了这个根本就没有什么用了，自己手动删除就好了
mcafee查杀u盘病毒的方法就是删除ini和inf文件，早就体会过了。。

妳的魚兒

看来小红伞要进一步加强在可移动存储设备的查杀

蓝色牛仔裤

我觉得移动U盘的病毒始终还是专杀工具比较好,或者手动删除.

sdyccyb

已经上传在病毒样本区了，地址http://www.kpfans.com/bbs/viewth ... &extra=page%3D1

是2007年1月5号和6号做的测试，用的1月6号的最新病毒库

另外，加了附图，可能那天公司网络有问题。