我把让nis2011睡着、神器NPE倒下、小A残废、360连尸骨都找不着的样本提取了(已解决）

604730161

为了解决我心头的疑惑和让卡饭们看到这到底是个什么病毒，今天我带着一个不怕所有病毒和能让他们无处遁形的工具来到了学校的电子阅览室并找到昨天那台电脑。唉，是到了给大家一个答案的时候。这是昨天http://bbs.kafan.cn/thread-821022-1-1.html
先上图
是不是有什么不该有的东西啊

我那个“工具”已经被感染了

今天又去验证了一下学校电子阅览室的那台电脑，发现如下：
1、那台电脑的系统还原已经被穿透破坏了，不排除各种可能性
2、那台电脑上的ARP防火墙和360等安全软件都会被病毒自动关闭
3、和反病毒有关的网站都打不开
4、那台电脑每个盘下都多了一些不该有的文件

NIS2011在我打开存放样本的文件夹时发现并处理了威胁，情况如下图

但是对于NIS2011有几点我很不解：
1、1个样本，处理的时候52个威胁？到处都是？
2、在存放样本的“工具”接入电脑之前，我已经做了相应的方式不让让本自动运行。可NIS2011却在处理这个样本的时候处理了52个威胁，而且不单单在一处，难道是样本自动运行了？如果我之前的预防措施的确没起到作用导致样本的确运行了，那么，可以看到的是，样本已经在我把“工具”接入电脑时在电脑里的很多位置创建了文件和更改了注册表，NIS2011为什么不及早拦截，这都创建文件和改注册表了啊？
3、昨天在同学电脑上使用Npe的失败让我很遗憾
4、昨天的那个移动硬盘到底杀没杀干净，我也没把握了

样本在这，希望卡饭们能分析一下，已有样本，便有真相了

解压密码都是virus，第一个好像是正常的，但比较可以所以我就顺便弄上来
了

感谢冲冲的解答
“那个不是运行或感染了，是清除流程，详见http://bbs.kafan.cn/thread-457097-1-1.html，你昨天那个帖子应该是没运行（或没有被查看），所以没有触发监控，不是NIS睡着了什么的，误导了好些人啊”
“NIS会根据病毒库记录清理注册表及其它文件、缓存等，不管是否真的被感染过，都会老老实实的执行清理操作，然后留下记录，尽管那些文件、注册表改动可能不存在，所以你实际上并不是被感染了，也不是NIS睡着了，只是正常的监控到威胁并清除”

我最近才换用NIS2011的，以前用的杀毒软件只要带病毒的U盘以插到电脑上就会报，很直观。可换上NIS后，插上那个带病毒的移动硬盘NIS一点反应也没有，只有手动扫描的时候它才报，而且以扫描就显示你机器上好几个位置都有威胁，这能不让人担忧吗？昨天有我的失误在里面，但不可否认的是NIS的确会误导人啊。这两天给大家带来了不少的困扰，我也长了不少知识，终于告一段落，我可以去休息一下了

listen1

建议楼主将样本移去样本区
或者PM版主将帖子转移去样本区

冲冲

那个不是运行或感染了，是清除流程，详见http://bbs.kafan.cn/thread-457097-1-1.html，你昨天那个帖子应该是没运行（或没有被查看），所以没有触发监控，不是NIS睡着了什么的，误导了好些人啊

xncqf

坐等楼下告人解释。。。

604730161

回复 3楼 冲冲 的帖子

我用词不严谨，这个是我的错

冲冲

回复 5楼 604730161 的帖子

NIS会根据病毒库记录清理注册表及其它文件、缓存等，不管是否真的被感染过，都会老老实实的执行清理操作，然后留下记录，尽管那些文件、注册表改动可能不存在，所以你实际上并不是被感染了，也不是NIS睡着了，只是正常的监控到威胁并清除

604730161

回复 6楼 冲冲 的帖子

明白了，看来是我错了

ikimi

回复 1楼 604730161 的帖子

i.rar 里的东东不是威胁程序，其带有有效的数字签名，微软的

yangben.rar里的syslive.exe，NIS2011已处理。

jefffire

诺顿不是查出来了么？

604730161

回复 3楼 冲冲 的帖子

我最近才换用NIS2011的，以前用的杀毒软件只要带病毒的U盘以插到电脑上就会报，很直观。可换上NIS后，插上那个带病毒的移动硬盘NIS一点反应也没有，只有手动扫描的时候它才报，而且以扫描就显示你机器上好几个位置都有威胁，这能不让人担忧吗？昨天有我的失误在里面，但不可否认的是NIS的确会误导人啊