Norton右键扫描病毒样本，处理完还要重启（原来如此）

显示全部楼层 · 发表于 2010-9-23 14:58:22

本帖最后由 wlx81702 于 2010.9.23 15:42 编辑

测试样本区的一个样本  http://bbs.kafan.cn/thread-798135-1-1.html

解压到一个文件夹，未运行，NAV右键扫描该文件夹。

大约有2-3分钟在一直停留在处理一个威胁  界面  之后竟然要我重启！

难道Norton将病毒在我的电脑里运行了？真机运行？要不怎么需要重启？直接删除样本不就完了。

另外每次处理有问题的样本时，Norton都会停留在处理威胁好久好久，不知为什么。

c:\users\firepower\desktop\keymaker\keymaker.exe
____________________________
____________________________
在电脑上的创建时间:
2010/9/23 ( 14:39:37 )
上次使用时间:
2010/9/23 ( 14:41:57 )
启动项:
否
已启动:
否
____________________________
____________________________
少量用户信任的文件
诺顿社区中有数百名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
来源
下载自  URL 不可用

来源: 外部介质源文件:
winrar.exe
文件创建日期:
keymaker.exe

____________________________
文件操作
文件: c:\users\firepower\appdata\local\temp\~df17a977e8ed329b46.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~df2288317e6162ad5f.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~df2acaa2a4c3bdf6a3.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~df51ce377a99dee2cc.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~df5d59685f829649c2.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~df74f2d7a9dd8d896b.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~df99b362afce6c6295.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~df9eb1512150d91cd3.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~dfaaf5e85c4f4aed26.tmp
需要重新启动
文件: c:\users\firepower\appdata\local\temp\~dfad08c5eb4f721ce5.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~dfb544a18c36d09ee7.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~dfb876a3f72dc73a7e.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~dfd23ad1c6b937bd9d.tmp
需要重新启动
文件: c:\users\firepower\appdata\local\temp\~dfd7d2307dcdfcf63e.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~dfe29909ef54d5fd24.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~dff676da83d9f123d7.tmp
已删除
文件: c:\users\firepower\appdata\local\temp\~df17a977e8ed329b46.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~df2288317e6162ad5f.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~df2acaa2a4c3bdf6a3.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~df51ce377a99dee2cc.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~df5d59685f829649c2.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~df74f2d7a9dd8d896b.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~df99b362afce6c6295.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~df9eb1512150d91cd3.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~dfad08c5eb4f721ce5.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~dfb544a18c36d09ee7.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~dfb876a3f72dc73a7e.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~dfd7d2307dcdfcf63e.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~dfe29909ef54d5fd24.tmp
不需要操作
文件: c:\users\firepower\appdata\local\temp\~dfe97f01c7588cced1.tmp
需要重新启动
文件: c:\users\firepower\appdata\local\temp\~dff676da83d9f123d7.tmp
不需要操作
受感染文件: c:\users\firepower\desktop\keymaker\keymaker.exe
已删除
____________________________
注册表操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa->AUOptions:3
已修复
注册表更改: HKEY_USERS\S-1-5-21-2383129942-3370586146-389433637-1000\Software\Microsoft\Security Center->FirewallDisableNotify:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-2383129942-3370586146-389433637-1000\Software\Microsoft\Security Center->UpdatesDisableNotify:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-2383129942-3370586146-389433637-1000\Software\Microsoft\Security Center->AntiVirusDisableNotify:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->AntiVirusOverride:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->FirewallOverride:0
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-2383129942-3370586146-389433637-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-21-2383129942-3370586146-389433637-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:1
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->UacDisableNotify:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc->AntiVirusDisableNotify:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->FirewallDisableNotify:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->UpdatesDisableNotify:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->AntiVirusOverride:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->FirewallOverride:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->FirstRunDisabled:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\->UacDisableNotify:0
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->SuperHidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-21-2383129942-3370586146-389433637-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->SuperHidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->SuperHidden:1
已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess->Start:2
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->AntiVirusDisableNotify:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->FirewallDisableNotify:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->UpdatesDisableNotify:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa->restrictanonymous:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\->UncheckedValue:1
已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess->Type:32
已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc->Type:32
已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv->Type:32
已修复
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

显示全部楼层 · 发表于 2010-9-23 15:16:36

参考http://bbs.kafan.cn/thread-457097-1-1.html

显示全部楼层 · 发表于 2010-9-23 15:24:23

参考
冲冲发表于 2010.9.23 15:16

除了上述两个一般被我用来做应急杀毒的安软以外。我个人认为，Norton和Microsoft的安软的杀毒效果应该是最好的！这两个杀软是我用过的杀软里面我所知道的，有详细的清毒流程的安软。用过Norton的人应该都知道，在Norton提示病毒清除完成以后，点开历史记录，会看到一个病毒的详细信息。最近扫描样本包的时候我就很奇怪，明明我没有运行过某些样本，但是Norton扫描完以后提示要清除某些样本需要重启。打开历史记录就看到某样本，52个注册表项，4个服务，N个文件……。原因就是，当一个病毒样本被上报给Norton以后，Norton的工程师会根据样本的运行情况写一个清毒的流程，发现这个样本以后，Norton就会跑一遍这个流程，并且由于某些样本会加载到底层，所以Norton会提示重启清除！

显示全部楼层 · 发表于 2010-9-23 15:39:11

举报爱姐纯引用

显示全部楼层 · 发表于 2010-9-23 15:39:48

举报爱姐纯引用
冲冲发表于 2010.9.23 15:39

两段引用

显示全部楼层 · 发表于 2010-9-23 15:41:37

回复 3楼 ikimi 的帖子

也就是说，按照铁壳工程师写的清毒流程、在真机上、Norton可控的环境下跑一遍？
铁壳企业版也是如此跑一遍清毒流程？

显示全部楼层 · 发表于 2010-9-23 15:42:03

回复 4楼冲冲的帖子

看来不能轻易用Norton试样本了，万一总重启太麻烦了。

显示全部楼层 · 发表于 2010-9-23 15:42:39

回复

也就是说，按照铁壳工程师写的清毒流程、在真机上、Norton可控的环境下跑一遍？
铁壳 ...
wlx81702 发表于 2010.9.23 15:41

因为很长时间不用企业版了，所以这个未知。

显示全部楼层 · 发表于 2010-9-23 15:43:49

回复

看来不能轻易用Norton试样本了，万一总重启太麻烦了。
wlx81702 发表于 2010.9.23 15:42

一直都是跑流程

[已解决] Norton右键扫描病毒样本，处理完还要重启（原来如此）

评分