瑞星卡卡安全论坛

==================================
API HOOK
入口点错误：EnumServicesStatusA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：EnumServicesStatusExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：ChangeServiceConfigA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：ChangeServiceConfig2A (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：EnumServicesStatusW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：EnumServicesStatusExW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：ChangeServiceConfigW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：ChangeServiceConfig2W (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：ControlService (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：CreateServiceA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：CreateServiceW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：DeleteService (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：EnumDependentServicesA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：QueryServiceConfigA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：QueryServiceConfig2A (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：QueryServiceStatus (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：QueryServiceStatusEx (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：EnumDependentServicesW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：QueryServiceConfigW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：QueryServiceConfig2W (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
入口点错误：TerminateProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：TerminateThread (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：CreateRemoteThread (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：ExitProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：FreeLibrary (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：WriteProcessMemory (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：OpenThread (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：PostMessageA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：PostMessageW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：PostThreadMessageA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：PostThreadMessageW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SendMessageA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SendMessageCallbackA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SendMessageCallbackW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SendMessageTimeoutA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SendMessageTimeoutW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SendMessageW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SendNotifyMessageA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SendNotifyMessageW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SetWindowsHookA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SetWindowsHookExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SetWindowsHookExW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)
入口点错误：SetWindowsHookW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\UmxSbxw.dll)

==================================
隐藏进程
N/A

==================================


[/CODE]

[Add to Anti-Banner]
<D:\program file\ie_banner_deny.htm, N/A>
看来这东西可疑！

发完了日志自己都没时间将它看完。

怎么没有高手继续帮看呢？

自己顶一下。

【回复“两个铁球”的帖子】
日志未见异常

引用:

【baohe的贴子】【回复“两个铁球”的帖子】 日志未见异常 ………………

谢谢！真是怪了，ie企图关掉卡巴服务的纪录，TINY依然每天都有。上面我怀疑的那个文件，不让改名也不让删（但不知是否TINY的一些设置使然），刚才偶做了备份“另存为”（这法可能不行）后，想法子打开其内容，其中有涉及已弃用的AVG的文字。究竟咋回事，回头有时间再理。

if TypeName(srcAnchor) = "HTMLImg" Then
DoCommand("banner_deny:" + srcAnchor.href)
elseif TypeName(srcAnchor) = "HTMLAnchorElement" Then
DoCommand("banner_deny:" + srcAnchor.href)
elseif TypeName(srcAnchor) = "HTMLAreaElement" Then
DoCommand("banner_deny:" + srcEvent.srcElement.href)
elseif TypeName(srcAnchor) = "HTMLInputElement" Then
DoCommand("banner_deny:" + srcAnchor.src)
end if

'' Allow link for web antivirus
'end if

</script></head></html>

各位高手、斑竹：两天了。我的问题依然如故。今天下午，卡巴Kis6居然不声不响的被挂掉了！（不仅停止Klif服务的一贯企图得逞了，而且卡巴的所有进程、图标都没了。我在SSM和Tiny里对卡巴的保护都设置好了的，甚至在SSM里设置了“若被关闭则重起”，但是不论从哪个途径重启卡巴都马上又被关闭（tiny的Activity Monitor详细记载可知。）不久，连tiny的ActivityMonitor和其托盘图标也挂了，从ssm的“规则”里启动都不行！无奈，进入“安全模式”，胡乱的用冰刀删除了所有的临时文件，重启计算机，好了！可是，卡巴的“反黑客功能”没有了！

从上面我扫的SREng日志中，我曾对我在31楼所说的那个文件有疑，文件为IE图标形式，对我的删除、改名企图一律拒绝。曾想办法把它删除、改名了，但现在发现卡巴的文件夹里仍然存在。后来种种迹象看似和卡巴的反黑客功能相关。但是现在此文件好好儿呆在那里，我的卡巴反黑功能却仍是残缺。
想法子打开该文件，其全部内容如以上第35楼，请懂程序的高手看看是啥！

卡巴被反复重起，又被马上挂掉的tiny监视记载（兰色感叹号标志的条目）图

附件: 65212420079803906.jpg