骑着蚂蚁狂追 - 2010-4-14 17:11:00
你好,请问瑞星日志中如何界定病毒,日志中“文件名”中有些有路径有些没有路径。怎么判断病毒文件具体存放的所在位置是在本机系统盘还是在移动存储里?
例如文件名
文件名:qq.exe 路径/访问染毒文件进程 为C:
jwgkvsq.vmx>.upx_c,路径/访问染毒文件进程 为G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665
19662031_360.temp,路径/访问染毒文件进程:C:\Documents and Settings\new\Local Settings\Temp
另外,文件名路径为C:\QQ.EXE,而路径/访问染毒文件的进程路径为H:\READATA2.EXE。
现在想向高手们求教,瑞星企业版2009是如何定义病毒实体文件存储在哪个地方? 是以日志的文件名为主还是路径/访问染毒文件进程为主?
虽然日志中大部份文件名路径为移动存储并非系统盘路径。 这里用户能理解。
但也有一些难给客户解释的情况,
比如上面的qq.exe 、19662031_360.temp, 即文件名本身没有路径,但染毒进程却分别为C盘或C:\Documents and Settings\new\Local Settings\Temp
或者文件名里显示是上面C:\QQ.EXE路径,是在本地系统盘里,然后病毒发作源却是来自于移动存储如上面的H:\READATA2.EXE:
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
木马bbbb - 2010-4-14 23:19:00
楼主你好,
可以打开日志管理工具,选择病毒明细查询,在右侧的病毒明细查询列表中可以看到具体内容,其中里面的【文件名】就是这个病毒文件所在的路径及文件名称。【路径/访问染毒文件进程】指的是这个病毒是调用的那个程序,比如一个病毒文件是压缩的,解压后【文件名】就是这个病毒文件本身,【路径/访问染毒文件进程】就是指的C:\Program Files\WinRAR\WINRAR.EXE文件。
C:\Documents and Settings\new\Local Settings\Temp下的文件,一般是病毒本身要运行后释放很多文件到这个目录,等病毒主体跑起来之后,会把temp下的文件及时删除。所以会看到只有一个路径或者文件名。
骑着蚂蚁狂追 - 2010-4-16 11:45:00
你好,文件名路径为C:\QQ.EXE,而路径/访问染毒文件的进程路径为H:\READATA2.EXE。
上面这个应该是U盘本身有病毒,被查出来后才在系统C盘生成的病毒文件。 病毒源本身不存在于系统C盘吧,要是这样的话客户会说这台终端中毒了,要做停机杀毒处理之类的话了。
© 2000 - 2024 Rising Corp. Ltd.