日期:2014-05-17  浏览次数:20775 次

今天发现了一个猛的
先说现象,以前安的symantec   antivirus9常常无故跳出“实时监控已经禁用”的提示,系统自动更新始终无法完成flash的一个更新。
粗看了一下,好像是病毒库还在去年的11月份,于是连上网升级,等了N久,说有一个文件未能更新。看了一下病毒库版本还是未变,干脆直接上网下了升级包,运行完了,结果还是那样。
心想是不是被什么玩意干扰了,于是先清理了一遍流氓软件,又打开赛门铁克准备杀一次毒,居然说是不能加载扫描引擎,看来问题严重了。
用syscheck检查一遍内核,除了ZA防火墙的东西外没有其他的啊。一时之间,理不出个头绪来。于是先把旧的卸了,重启,再装了一个v10的,更新,可以扫描了。扫了一会,扫出几个很普通的玩意,基本上没多大的参考价值。闲不住,开了狙剑来看,突然有所发现了,除了ZA的以外,当然还有狙剑本身的以外,还有两个东东,其中一个竟然是inlinehook,查看文件属性,说的好像是intel的管显示的,还说是与directX有关,想一想觉得好生古怪,管它的,先用狙剑解除它的inhook再说,竟然解不掉,郁闷。
这时候,我犯错了,我居然直接搜索这两个文件,并且准备把它们删掉,其中一个删掉了,另一个就在我全选了点删除的那一瞬间,机器给了我一张蓝脸并在0.5秒内停止了活动,我估计那个时候我的脸色一定是相当尴尬。然后重启了两遍都进不了欢迎屏幕,我才意识到我的冲动带来了多大的麻烦。不得已进PE,把那个在回收站的文件还原,重启,终于又看到了桌面。
可是,时间也很晚了。我估计了一下,以我的能耐怕是在今天晚上弄不好了,所以把杀毒开了扫描做幌子,麻利的打道回府了。
现在猜吧,有没有可能是symantec10的?但是它为何要在文件属性中用intel的名字?这很让人费解啊,何况我印象中没看到过那个symantec10有用hook的。


------解决方案--------------------
楼主可以换其它杀毒软件扫描看看

或者把可疑文件上报给反病毒公司分析看看。
------解决方案--------------------
可以直接提交样本
或是把可疑的文件用密码压缩起来发给我robert.x.wang <at> gmail.com